Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
In den folgenden Themen werden die Schritte beschrieben, die Sie ausführen müssen, um Ihr Hardware-Sicherheitsmodul (HSM) so zu konfigurieren, dass AWS CloudHSM Administratoren die Quorum-Authentifizierung verwenden können. Sie müssen diese Schritte nur einmal ausführen, wenn Sie die Quorum-Authentifizierung für Admins zum ersten Mal konfigurieren. Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Benutzerverwaltung mit aktivierter Quorum-Authentifizierung für die Nutzung der Cloud AWS CloudHSM HSM CLI fort.
Themen
Voraussetzungen
Um dieses Beispiel zu verstehen, sollten Sie mit Cloud vertraut sein. HSM CLI
Schritt 1. Erstellen und Registrieren eines Schlüssels für das Signieren
Um die Quorum-Authentifizierung zu verwenden, muss jeder Administrator alle der folgenden Schritte ausführen:
Themen
Erstellen Sie ein RSA key pair
Es gibt viele verschiedene Möglichkeiten, ein Schlüsselpaar zu erstellen und zu schützen. Die folgenden Beispiele zeigen, wie das mit Open
Beispiel — Erstellen Sie mit Open einen privaten Schlüssel SSL
Das folgende Beispiel zeigt, wie Open verwendet wird, SSL um einen RSA 2048-Bit-Schlüssel zu erstellen. Um dieses Beispiel zu verwenden, <admin.key>
ersetzen Sie es durch den Namen der Datei, in der Sie den Schlüssel speichern möchten.
$
openssl genrsa -out
<admin.key>
Generating RSA private key, 2048 bit long modulus .....................................+++ .+++ e is 65537 (0x10001)
Generieren eines öffentlichen Schlüssels mit dem privaten Schlüssel, den Sie gerade erstellt haben.
Beispiel — Erstellen Sie mit Open einen öffentlichen Schlüssel SSL
Das folgende Beispiel zeigt, wie Sie Open verwendenSSL, um aus dem soeben erstellten privaten Schlüssel einen öffentlichen Schlüssel zu erstellen.
$
openssl rsa -in admin.key -outform PEM -pubout -out admin1.pub
writing RSA key
Erstellen und signieren Sie ein Registrierungstoken
Sie erstellen ein Token und signieren es mit dem privaten Schlüssel, den Sie gerade im vorherigen Schritt generiert haben.
Beispiel – Erstellen Sie ein Registrierungstoken
-
Verwenden Sie den folgenden Befehl, um die Cloud zu starten HSMCLI:
$
/opt/cloudhsm/bin/cloudhsm-cli interactive
-
Erstellen Sie ein Registrierungstoken, indem Sie den Befehl quorum token-sign generate ausführen:
aws-cloudhsm >
quorum token-sign generate --service registration --token /path/tokenfile
{ "error_code": 0, "data": { "path": "/path/tokenfile" } }
-
Der Befehl quorum token-sign generate generiert ein Registrierungstoken im angegebenen Dateipfad. Untersuchen Sie die Tokendatei:
$
cat /path/tokenfile
{ "version": "2.0", "tokens": [ { "approval_data":
<approval data in base64 encoding>
, "unsigned":<unsigned token in base64 encoding>
, "signed": "" } ] }Die Tokendatei besteht aus Folgendem:
approval_data: Ein Base64-kodiertes zufälliges Datentoken, dessen Rohdaten das Maximum von 245 Byte nicht überschreiten.
unsigned: Ein Base64-codiertes und SHA256 gehashtes Token der approval_data.
signed: Ein Base64-codiertes signiertes Token (Signatur) des unsignierten Tokens, das den zuvor mit Open generierten privaten 2048-Bit-Schlüssel verwendet. RSA SSL
Sie signieren das unsignierte Token mit dem privaten Schlüssel, um nachzuweisen, dass Sie Zugriff auf den privaten Schlüssel haben. Sie benötigen die vollständig mit einer Signatur und dem öffentlichen Schlüssel aufgefüllte Registrierungstokendatei, um den Administrator als Quorum-Benutzer im Cluster zu registrieren. AWS CloudHSM
Beispiel – Signieren Sie das unsignierte Registrierungstoken
Dekodieren Sie das Base64-kodierte unsignierte Token und platzieren Sie es in einer Binärdatei:
$
echo -n '6BMUj6mUjjko6ZLCEdzGlWpR5sILhFJfqhW1ej3Oq1g=' | base64 -d > admin.bin
Verwenden Sie Open SSL und den privaten Schlüssel, um das jetzt binäre, unsignierte Registrierungstoken zu signieren und eine binäre Signaturdatei zu erstellen:
$
openssl pkeyutl -sign \ -inkey admin.key \ -pkeyopt digest:sha256 \ -keyform PEM \ -in admin.bin \ -out admin.sig.bin
-
Kodieren Sie die binäre Signatur in Base64:
$
base64 -w0 admin.sig.bin > admin.sig.b64
-
Kopieren Sie die Base64-kodierte Signatur und fügen Sie sie in die Token-Datei ein:
{ "version": "2.0", "tokens": [ { "approval_data":
<approval data in base64 encoding>
, "unsigned":<unsigned token in base64 encoding>
, "signed":<signed token in base64 encoding>
} ] }
Registrieren Sie den öffentlichen Schlüssel mit dem HSM
Nach der Erstellung eines Schlüssels muss der Administrator den öffentlichen Schlüssel im AWS CloudHSM Cluster registrieren.
Um einen öffentlichen Schlüssel zu registrieren mit HSM
-
Verwenden Sie den folgenden Befehl, um Cloud zu starten HSMCLI:
$
/opt/cloudhsm/bin/cloudhsm-cli interactive
-
Melden Sie HSM CLI sich mit Cloud als Administrator an.
aws-cloudhsm >
login --username admin --role admin
Enter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } } -
Verwenden Sie den Befehl Registrieren Sie die Token-Sign-Quorum-Strategie eines Benutzers mithilfe der Cloud HSM CLI, um den öffentlichen Schlüssel zu registrieren. Weitere Informationen finden Sie im folgenden Beispiel. Alternativ können Sie auch den Befehl help user change-quorum token-sign register ausführen.
Beispiel — Registrieren Sie einen öffentlichen Schlüssel beim AWS CloudHSM Cluster
Das folgende Beispiel zeigt, wie Sie den user change-quorum token-sign register Befehl in Cloud verwenden HSMCLI, um den öffentlichen Schlüssel eines Administrators beim zu registrieren. HSM Um diesen Befehl verwenden zu können, muss der Administrator bei angemeldet sein. HSM Ersetzen Sie diese Werte durch Ihre eigenen Werte:
aws-cloudhsm >
user change-quorum token-sign register --public-key
</path/admin.pub>
--signed-token</path/tokenfile>
{ "error_code": 0, "data": { "username": "admin", "role": "admin" } }
Anmerkung
/path/admin.pub: Der Dateipfad zur Datei mit dem öffentlichen Schlüssel PEM
Erforderlich: Ja
/path/tokenfile: Der Dateipfad mit dem Token, das mit dem privaten Schlüssel des Benutzers signiert wurde
Erforderlich: Ja
Nachdem alle Admins ihre öffentlichen Schlüssel registriert haben, zeigt die Ausgabe des user list-Befehls dies im Quorumfeld an und gibt an, welche aktivierte Quorum-Strategie verwendet wird, wie unten dargestellt:
aws-cloudhsm >
user list
{ "error_code": 0, "data": { "users": [ { "username": "admin", "role": "admin", "locked": "false", "mfa": [], "quorum": [ { "strategy": "token-sign", "status": "enabled" } ], "cluster-coverage": "full" }, { "username": "admin2", "role": "admin", "locked": "false", "mfa": [], "quorum": [ { "strategy": "token-sign", "status": "enabled" } ], "cluster-coverage": "full" }, { "username": "admin3", "role": "admin", "locked": "false", "mfa": [], "quorum": [ { "strategy": "token-sign", "status": "enabled" } ], "cluster-coverage": "full" }, { "username": "admin4", "role": "admin", "locked": "false", "mfa": [], "quorum": [ { "strategy": "token-sign", "status": "enabled" } ], "cluster-coverage": "full" }, { "username": "app_user", "role": "internal(APPLIANCE_USER)", "locked": "false", "mfa": [], "quorum": [], "cluster-coverage": "full" } ] } }
In diesem Beispiel besteht der AWS CloudHSM Cluster aus zwei Clustern mit jeweils denselben AdministratorenHSMs, wie in der folgenden Ausgabe des Befehls dargestellt. user list Weitere Informationen zum Erstellen von Benutzern finden Sie unter Benutzerverwaltung mit Cloud HSM CLI
Schritt 2. Legen Sie den Quorum-Mindestwert auf dem fest HSM
Um die Quorumauthentifizierung zu verwenden, muss sich ein Administrator bei der anmelden HSM und dann den Quorum-Mindestwert festlegen. Dies ist die Mindestanzahl von Administratorgenehmigungen, die für die Durchführung von HSM Benutzerverwaltungsvorgängen erforderlich sind. Jeder Administrator HSM kann den Quorum-Mindestwert festlegen, auch Administratoren, die keinen Schlüssel zum Signieren registriert haben. Sie können den Quorum-Mindestwert jederzeit ändern. Weitere Informationen finden Sie unter Ändern Sie den Mindestwert.
Um den Quorum-Mindestwert auf dem festzulegen HSM
-
Verwenden Sie den folgenden Befehl, um Cloud HSM CLI zu starten:
$
/opt/cloudhsm/bin/cloudhsm-cli interactive
-
Melden Sie HSM CLI sich mit Cloud als Administrator an.
aws-cloudhsm >
login --username admin --role admin
Enter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } } -
Verwenden Sie den Einen Quorumwert mit Cloud aktualisieren HSM CLI-Befehl, um den Quorum-Mindestwert festzulegen. Das
--service
Flag identifiziert den HSM Dienst, für den Sie Werte festlegen. Sehen Sie sich das folgende Beispiel an oder verwenden Sie den help quorum token-sign set-quorum-value Befehl für weitere Informationen.
Beispiel — Legt den Quorum-Mindestwert auf dem fest HSM
In diesem Beispiel wird ein Quorum-Mindestwert von zwei (2) verwendet. Sie können einen beliebigen Wert zwischen zwei (2) und acht (8) wählen, bis zur Gesamtzahl der Admins auf dem. HSM In diesem Beispiel HSM hat der vier (4) Administratoren, sodass der maximal mögliche Wert vier (4) ist.
Um den folgenden Beispielbefehl zu verwenden, ersetzen Sie die letzte Zahl (<2>
) durch den bevorzugten Quorum-Mindestwert.
aws-cloudhsm >
quorum token-sign set-quorum-value --service user --value
<2>
{ "error_code": 0, "data": "Set quorum value successful" }
In diesem Beispiel listet der Quorumwerte mit Cloud anzeigen HSM CLI Befehl die HSM Diensttypen, Namen und Beschreibungen auf, die im Dienst enthalten sind.
Quorum-Mindestwerte
Um den Quorum-Mindestwert für einen Dienst abzurufen, verwenden Sie den quorum token-sign list-quorum-values-Befehl:
aws-cloudhsm >
quorum token-sign list-quorum-values
{ "error_code": 0, "data": { "user": 2, "quorum": 1 } }
Die Ausgabe des vorherigen quorum token-sign list-quorum-values Befehls zeigt, dass der Quorum-Mindestwert für den HSM Benutzerdienst, der für die Benutzerverwaltungsvorgänge zuständig ist, jetzt zwei (2) beträgt. Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Benutzerverwaltung mit Quorum (M von N) fort.
Admin-Dienste: Die Quorum-Authentifizierung wird für Dienste mit Administratorrechten verwendet, z. B. für das Erstellen von Benutzern, das Löschen von Benutzern, das Ändern von Benutzerkennwörtern, das Festlegen von Quorumwerten und das Deaktivieren von Quorum und Funktionen. MFA
Krypto-Benutzerdienste: Die Quorum-Authentifizierung wird für Dienste verwendet, die für Krypto-Benutzer privilegiert sind und mit einem bestimmten Schlüssel verknüpft sind, z. B. das Signieren mit einem Schlüssel, ein Schlüssel und das Festlegen sharing/unsharing a key, wrapping/unwrapping eines Schlüsselattributs. Der Quorumwert eines zugehörigen Schlüssels wird konfiguriert, wenn der Schlüssel generiert, importiert oder entpackt wird. Der Quorumwert muss gleich oder kleiner als die Anzahl der Benutzer sein, denen der Schlüssel zugeordnet ist. Dazu gehören Benutzer, mit denen der Schlüssel geteilt wird, und der Schlüsselbesitzer.
Jeder Diensttyp wird weiter in einen qualifizierenden Dienstnamen unterteilt, der eine bestimmte Gruppe von Quorum-unterstützten Dienstvorgängen enthält, die ausgeführt werden können.
Service-Name | Servicetyp | Serviceoperationen |
---|---|---|
user | Admin. |
|
quorum | Admin. |
|
Cluster 1 | Admin. |
|
Schlüsselverwaltung | Crypto-Benutzer |
|
Verwendung des Schlüssels | Crypto-Benutzer |
|
[1] Der Cluster-Service ist ausschließlich auf hsm2m.medium verfügbar