Ändern Sie den Quorum-Mindestwert mit dem AWS CloudHSM Management Utility - AWS CloudHSM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ändern Sie den Quorum-Mindestwert mit dem AWS CloudHSM Management Utility

Nachdem Sie den Quorum-Mindestwert so festgelegt haben, dass AWS CloudHSM Crypto Officers (COs) die Quorumauthentifizierung verwenden können, möchten Sie möglicherweise den Quorum-Mindestwert ändern. HSMMit können Sie den Quorum-Mindestwert nur ändern, wenn die Anzahl der Genehmiger dem aktuellen Quorum-Mindestwert entspricht oder diesen übersteigt. Wenn der Quorum-Mindestwert beispielsweise zwei ist, COs müssen mindestens zwei zustimmen, um den Quorum-Mindestwert zu ändern.

Für die Quorum-Genehmigung zum Ändern des Quorum-Mindestwerts benötigen Sie ein Quorum-Token für den Befehl setMValue (Service 4). Um ein Quorum-Token für den Befehl setMValue (Service 4) zu erhalten, muss der Quorum-Mindestwert für Service 4 größer als 1 sein. Das bedeutet, dass Sie, bevor Sie den Quorum-Mindestwert für COs (Dienst 3) ändern können, möglicherweise den Quorum-Mindestwert für Dienst 4 ändern müssen.

In der folgenden Tabelle sind die HSM Dienstkennungen zusammen mit ihren Namen, Beschreibungen und den Befehlen aufgeführt, die im Dienst enthalten sind.

Dienstkennung Service-Name Service description (Service-Beschreibung) HSMBefehle
3 USER_MGMT HSMBenutzerverwaltung

  • createUser

  • deleteUser

  • changePswd(gilt nur, wenn das Passwort eines anderen HSM Benutzers geändert wird)
4 MISC_CO Diverser CO-Service

  • setMValue
So ändern Sie den Quorum-Mindestwert für Verschlüsselungsverantwortliche

  1. Verwenden Sie den folgenden Befehl, um das zu starten cloudhsm_mgmt_util Befehlszeilentool.

    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg

  2. Verwenden Sie den loginHSM Befehl, um sich HSM als CO anzumelden. Weitere Informationen finden Sie unter HSM-Benutzerverwaltung mit CloudHSM Management Utility (CMU).

  3. Verwenden Sie den Befehl getMValue, um den Quorum-Mindestwert für Service 3 abzurufen. Weitere Informationen finden Sie im folgenden Beispiel.

  4. Verwenden Sie den Befehl getMValue, um den Quorum-Mindestwert für Service 4 abzurufen. Weitere Informationen finden Sie im folgenden Beispiel.

  5. Wenn der Quorum-Mindestwert für Service 4 niedriger ist als der Wert für Service 3, verwenden Sie den Befehl setMValue, um den Wert für Service 4 zu ändern. Ändern Sie den Wert für Service 4 in einen Wert, der gleich oder höher als der Wert für Service 3 ist. Weitere Informationen finden Sie im folgenden Beispiel.

  6. Rufen Sie ein Quorum-Token ab und geben Sie Service 4 als den Service an, für den Sie das Token verwenden können.

  7. Holen Sie sich Genehmigungen (Signaturen) von anderen COs ein.

  8. Genehmigen Sie das Token auf dem HSM.

  9. Verwenden Sie den setMValue Befehl, um den Quorum-Mindestwert für Dienst 3 zu ändern (Benutzerverwaltungsvorgänge, die von ausgeführt werdenCOs).

Beispiel – Abrufen von Quorum-Mindestwerten und Ändern des Werts für Service 4

Das folgende Beispiel zeigt, dass der Quorum-Mindestwert für Service 3 derzeit 2 ist.

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

Das folgende Beispiel zeigt, dass der Quorum-Mindestwert für Service 4 derzeit 1 ist.

aws-cloudhsm>getMValue 4
MValue of service 4[MISC_CO] on server 0 : [1]
MValue of service 4[MISC_CO] on server 1 : [1]

Um den Quorum-Mindestwert für Service 4 zu ändern, verwenden Sie den Befehl setMValue und legen Sie einen Wert fest, der gleich oder höher als der Wert für Service 3 ist. Im folgenden Beispiel wird der Quorum-Mindestwert für Service 4 auf 2 festgelegt. Dies ist der gleiche Wert wie für Service 3.

aws-cloudhsm>setMValue 4 2
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
Setting M Value(2) for 4 on 2 nodes

Die folgenden Befehle zeigen, dass der Quorum-Mindestwert für Service 3 und Service 4 jetzt 2 ist.

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
aws-cloudhsm>getMValue 4
MValue of service 4[MISC_CO] on server 0 : [2]
MValue of service 4[MISC_CO] on server 1 : [2]