Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Richten Sie die Quorum-Authentifizierung für Administratoren ein, die Cloud verwenden AWS CloudHSM HSM CLI

Fokusmodus
Richten Sie die Quorum-Authentifizierung für Administratoren ein, die Cloud verwenden AWS CloudHSM HSM CLI - AWS CloudHSM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

In den folgenden Themen werden die Schritte beschrieben, die Sie ausführen müssen, um Ihr Hardware-Sicherheitsmodul (HSM) so zu konfigurieren, dass AWS CloudHSM Administratoren die Quorum-Authentifizierung verwenden können. Sie müssen diese Schritte nur einmal ausführen, wenn Sie die Quorum-Authentifizierung für Admins zum ersten Mal konfigurieren. Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Benutzerverwaltung mit aktivierter Quorum-Authentifizierung für die Nutzung der Cloud AWS CloudHSM HSM CLI fort.

Voraussetzungen

Um dieses Beispiel zu verstehen, sollten Sie mit Cloud vertraut sein. HSM CLI

Schritt 1. Erstellen und Registrieren eines Schlüssels für das Signieren

Um die Quorum-Authentifizierung zu verwenden, muss jeder Administrator alle der folgenden Schritte ausführen:

Erstellen Sie ein RSA key pair

Es gibt viele verschiedene Möglichkeiten, ein Schlüsselpaar zu erstellen und zu schützen. Die folgenden Beispiele zeigen, wie das mit Open gemacht wirdSSL.

Beispiel — Erstellen Sie mit Open einen privaten Schlüssel SSL

Das folgende Beispiel zeigt, wie Open verwendet wird, SSL um einen RSA 2048-Bit-Schlüssel zu erstellen. Um dieses Beispiel zu verwenden, <admin.key> ersetzen Sie es durch den Namen der Datei, in der Sie den Schlüssel speichern möchten.

$ openssl genrsa -out <admin.key> Generating RSA private key, 2048 bit long modulus .....................................+++ .+++ e is 65537 (0x10001)

Generieren eines öffentlichen Schlüssels mit dem privaten Schlüssel, den Sie gerade erstellt haben.

Beispiel — Erstellen Sie mit Open einen öffentlichen Schlüssel SSL

Das folgende Beispiel zeigt, wie Sie Open verwendenSSL, um aus dem soeben erstellten privaten Schlüssel einen öffentlichen Schlüssel zu erstellen.

$ openssl rsa -in admin.key -outform PEM -pubout -out admin1.pub writing RSA key

Erstellen und signieren Sie ein Registrierungstoken

Sie erstellen ein Token und signieren es mit dem privaten Schlüssel, den Sie gerade im vorherigen Schritt generiert haben.

Beispiel – Erstellen Sie ein Registrierungstoken
  1. Verwenden Sie den folgenden Befehl, um die Cloud zu starten HSMCLI:

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\> .\cloudhsm-cli.exe interactive
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
  2. Erstellen Sie ein Registrierungstoken, indem Sie den Befehl quorum token-sign generate ausführen:

    aws-cloudhsm > quorum token-sign generate --service registration --token /path/tokenfile { "error_code": 0, "data": { "path": "/path/tokenfile" } }
  3. Der Befehl quorum token-sign generate generiert ein Registrierungstoken im angegebenen Dateipfad. Untersuchen Sie die Tokendatei:

    $ cat /path/tokenfile{ "version": "2.0", "tokens": [ { "approval_data": <approval data in base64 encoding>, "unsigned": <unsigned token in base64 encoding>, "signed": "" } ] }

    Die Tokendatei besteht aus Folgendem:

    • approval_data: Ein Base64-kodiertes zufälliges Datentoken, dessen Rohdaten das Maximum von 245 Byte nicht überschreiten.

    • unsigned: Ein Base64-codiertes und SHA256 gehashtes Token der approval_data.

    • signed: Ein Base64-codiertes signiertes Token (Signatur) des unsignierten Tokens, das den zuvor mit Open generierten privaten 2048-Bit-Schlüssel verwendet. RSA SSL

    Sie signieren das unsignierte Token mit dem privaten Schlüssel, um nachzuweisen, dass Sie Zugriff auf den privaten Schlüssel haben. Sie benötigen die vollständig mit einer Signatur und dem öffentlichen Schlüssel aufgefüllte Registrierungstokendatei, um den Administrator als Quorum-Benutzer im Cluster zu registrieren. AWS CloudHSM

Beispiel – Signieren Sie das unsignierte Registrierungstoken
  1. Dekodieren Sie das Base64-kodierte unsignierte Token und platzieren Sie es in einer Binärdatei:

    $ echo -n '6BMUj6mUjjko6ZLCEdzGlWpR5sILhFJfqhW1ej3Oq1g=' | base64 -d > admin.bin
  2. Verwenden Sie Open SSL und den privaten Schlüssel, um das jetzt binäre, unsignierte Registrierungstoken zu signieren und eine binäre Signaturdatei zu erstellen:

    $ openssl pkeyutl -sign \ -inkey admin.key \ -pkeyopt digest:sha256 \ -keyform PEM \ -in admin.bin \ -out admin.sig.bin
  3. Kodieren Sie die binäre Signatur in Base64:

    $ base64 -w0 admin.sig.bin > admin.sig.b64
  4. Kopieren Sie die Base64-kodierte Signatur und fügen Sie sie in die Token-Datei ein:

    { "version": "2.0", "tokens": [ { "approval_data": <approval data in base64 encoding>, "unsigned": <unsigned token in base64 encoding>, "signed": <signed token in base64 encoding> } ] }

Registrieren Sie den öffentlichen Schlüssel mit dem HSM

Nach der Erstellung eines Schlüssels muss der Administrator den öffentlichen Schlüssel im AWS CloudHSM Cluster registrieren.

Um einen öffentlichen Schlüssel zu registrieren mit HSM
  1. Verwenden Sie den folgenden Befehl, um Cloud zu starten HSMCLI:

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\> .\cloudhsm-cli.exe interactive
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
  2. Melden Sie HSM CLI sich mit Cloud als Administrator an.

    aws-cloudhsm > login --username admin --role admin Enter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } }
  3. Verwenden Sie den Befehl Registrieren Sie die Token-Sign-Quorum-Strategie eines Benutzers mithilfe der Cloud HSM CLI, um den öffentlichen Schlüssel zu registrieren. Weitere Informationen finden Sie im folgenden Beispiel. Alternativ können Sie auch den Befehl help user change-quorum token-sign register ausführen.

Beispiel — Registrieren Sie einen öffentlichen Schlüssel beim AWS CloudHSM Cluster

Das folgende Beispiel zeigt, wie Sie den user change-quorum token-sign register Befehl in Cloud verwenden HSMCLI, um den öffentlichen Schlüssel eines Administrators beim zu registrieren. HSM Um diesen Befehl verwenden zu können, muss der Administrator bei angemeldet sein. HSM Ersetzen Sie diese Werte durch Ihre eigenen Werte:

aws-cloudhsm > user change-quorum token-sign register --public-key </path/admin.pub> --signed-token </path/tokenfile> { "error_code": 0, "data": { "username": "admin", "role": "admin" } }
Anmerkung

/path/admin.pub: Der Dateipfad zur Datei mit dem öffentlichen Schlüssel PEM

Erforderlich: Ja

/path/tokenfile: Der Dateipfad mit dem Token, das mit dem privaten Schlüssel des Benutzers signiert wurde

Erforderlich: Ja

Nachdem alle Admins ihre öffentlichen Schlüssel registriert haben, zeigt die Ausgabe des user list-Befehls dies im Quorumfeld an und gibt an, welche aktivierte Quorum-Strategie verwendet wird, wie unten dargestellt:

aws-cloudhsm > user list { "error_code": 0, "data": { "users": [ { "username": "admin", "role": "admin", "locked": "false", "mfa": [], "quorum": [ { "strategy": "token-sign", "status": "enabled" } ], "cluster-coverage": "full" }, { "username": "admin2", "role": "admin", "locked": "false", "mfa": [], "quorum": [ { "strategy": "token-sign", "status": "enabled" } ], "cluster-coverage": "full" }, { "username": "admin3", "role": "admin", "locked": "false", "mfa": [], "quorum": [ { "strategy": "token-sign", "status": "enabled" } ], "cluster-coverage": "full" }, { "username": "admin4", "role": "admin", "locked": "false", "mfa": [], "quorum": [ { "strategy": "token-sign", "status": "enabled" } ], "cluster-coverage": "full" }, { "username": "app_user", "role": "internal(APPLIANCE_USER)", "locked": "false", "mfa": [], "quorum": [], "cluster-coverage": "full" } ] } }

In diesem Beispiel besteht der AWS CloudHSM Cluster aus zwei Clustern mit jeweils denselben AdministratorenHSMs, wie in der folgenden Ausgabe des Befehls dargestellt. user list Weitere Informationen zum Erstellen von Benutzern finden Sie unter Benutzerverwaltung mit Cloud HSM CLI

Schritt 2. Legen Sie den Quorum-Mindestwert auf dem fest HSM

Um die Quorumauthentifizierung zu verwenden, muss sich ein Administrator bei der anmelden HSM und dann den Quorum-Mindestwert festlegen. Dies ist die Mindestanzahl von Administratorgenehmigungen, die für die Durchführung von HSM Benutzerverwaltungsvorgängen erforderlich sind. Jeder Administrator HSM kann den Quorum-Mindestwert festlegen, auch Administratoren, die keinen Schlüssel zum Signieren registriert haben. Sie können den Quorum-Mindestwert jederzeit ändern. Weitere Informationen finden Sie unter Ändern Sie den Mindestwert.

Um den Quorum-Mindestwert auf dem festzulegen HSM
  1. Verwenden Sie den folgenden Befehl, um Cloud HSM CLI zu starten:

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\> .\cloudhsm-cli.exe interactive
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
  2. Melden Sie HSM CLI sich mit Cloud als Administrator an.

    aws-cloudhsm > login --username admin --role admin Enter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } }
  3. Verwenden Sie den Einen Quorumwert mit Cloud aktualisieren HSM CLI-Befehl, um den Quorum-Mindestwert festzulegen. Das --service Flag identifiziert den HSM Dienst, für den Sie Werte festlegen. Sehen Sie sich das folgende Beispiel an oder verwenden Sie den help quorum token-sign set-quorum-value Befehl für weitere Informationen.

Beispiel — Legt den Quorum-Mindestwert auf dem fest HSM

In diesem Beispiel wird ein Quorum-Mindestwert von zwei (2) verwendet. Sie können einen beliebigen Wert zwischen zwei (2) und acht (8) wählen, bis zur Gesamtzahl der Admins auf dem. HSM In diesem Beispiel HSM hat der vier (4) Administratoren, sodass der maximal mögliche Wert vier (4) ist.

Um den folgenden Beispielbefehl zu verwenden, ersetzen Sie die letzte Zahl (<2>) durch den bevorzugten Quorum-Mindestwert.

aws-cloudhsm > quorum token-sign set-quorum-value --service user --value <2> { "error_code": 0, "data": "Set quorum value successful" }

In diesem Beispiel listet der Quorumwerte mit Cloud anzeigen HSM CLI Befehl die HSM Diensttypen, Namen und Beschreibungen auf, die im Dienst enthalten sind.

Quorum-Mindestwerte

Um den Quorum-Mindestwert für einen Dienst abzurufen, verwenden Sie den quorum token-sign list-quorum-values-Befehl:

aws-cloudhsm > quorum token-sign list-quorum-values { "error_code": 0, "data": { "user": 2, "quorum": 1 } }

Die Ausgabe des vorherigen quorum token-sign list-quorum-values Befehls zeigt, dass der Quorum-Mindestwert für den HSM Benutzerdienst, der für die Benutzerverwaltungsvorgänge zuständig ist, jetzt zwei (2) beträgt. Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Benutzerverwaltung mit Quorum (M von N) fort.

Admin-Dienste: Die Quorum-Authentifizierung wird für Dienste mit Administratorrechten verwendet, z. B. für das Erstellen von Benutzern, das Löschen von Benutzern, das Ändern von Benutzerkennwörtern, das Festlegen von Quorumwerten und das Deaktivieren von Quorum und Funktionen. MFA

Krypto-Benutzerdienste: Die Quorum-Authentifizierung wird für Dienste verwendet, die für Krypto-Benutzer privilegiert sind und mit einem bestimmten Schlüssel verknüpft sind, z. B. das Signieren mit einem Schlüssel, ein Schlüssel und das Festlegen sharing/unsharing a key, wrapping/unwrapping eines Schlüsselattributs. Der Quorumwert eines zugehörigen Schlüssels wird konfiguriert, wenn der Schlüssel generiert, importiert oder entpackt wird. Der Quorumwert muss gleich oder kleiner als die Anzahl der Benutzer sein, denen der Schlüssel zugeordnet ist. Dazu gehören Benutzer, mit denen der Schlüssel geteilt wird, und der Schlüsselbesitzer.

Jeder Diensttyp wird weiter in einen qualifizierenden Dienstnamen unterteilt, der eine bestimmte Gruppe von Quorum-unterstützten Dienstvorgängen enthält, die ausgeführt werden können.

Service-Name Servicetyp Serviceoperationen
user Admin.
  • user create

  • user delete

  • user change-password

  • user change-mfa

quorum Admin.
  • Quorum-Tokenzeichen set-quorum-value

Cluster 1 Admin.
  • Cluster MTLS register-trust-anchor

  • Cluster-MTLS deregister-trust-anchor

  • Durchsetzung von Cluster-MTLS-Sätzen

Schlüsselverwaltung Crypto-Benutzer
  • Schlüsselhülle

  • Schlüssel auspacken

  • key share

  • key unshare

  • key set-attribute

Verwendung des Schlüssels Crypto-Benutzer
  • Schlüsselzeichen

[1] Der Cluster-Service ist ausschließlich auf hsm2m.medium verfügbar

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.