Genera un token de quórum con Cloud HSM CLI - AWS CloudHSM
Tipo de usuarioSintaxisEjemploArgumentosTemas relacionados de

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Genera un token de quórum con Cloud HSM CLI

Usa el quorum token-sign generate comando en Cloud HSM CLI para generar un token para un servicio autorizado por el quórum.

Existe un límite para obtener un token activo por usuario y servicio en un HSM clúster por usuario y quórum de servicios. Este límite no se aplica a los tokens relacionados con los servicios clave.

nota

Solo los administradores y los criptousuarios pueden generar tokens de servicio específicos. Para obtener más información sobre los tipos y nombres de servicios, consulte Nombres y tipos de servicios que admiten la autenticación de quórum

Servicios de administración: la autenticación de quórum se utiliza para los servicios con privilegios de administrador, como la creación y eliminación de usuarios, el cambio de las contraseñas de los usuarios, la configuración de los valores de quórum y la desactivación del quórum y las capacidades. MFA

Servicios para usuarios criptográficos: la autenticación de quórum se utiliza para los servicios privilegiados de los usuarios criptográficos asociados a una clave específica, como firmar con una clave, una clave y configurar el atributo de sharing/unsharing a key, wrapping/unwrapping una clave. El valor de quórum de una clave asociada se configura al generar, importar o desempaquetar la clave. El valor de quórum debe ser igual o inferior al número de usuarios a los que está asociada la clave, que incluye a los usuarios con los que se comparte la clave y al propietario de la clave.

Además, cada tipo de servicio se divide en un nombre de servicio válido que contiene un conjunto específico de operaciones de servicio compatibles con cuórum que se pueden realizar.

Nombre del servicio Tipo de servicio Operaciones de servicio
usuario Administrador

  • user create

  • user delete

  • user change-password

  • user change-mfa
quorum Administrador

  • signo simbólico de quórum set-quorum-value
cluster1 Administrador

  • clúster mtls register-trust-anchor

  • clúster mtls deregister-trust-anchor

  • cluster mtls set-enforcement
administración de claves Usuario criptográfico

  • envoltorio para llaves

  • desenvolver llaves

  • key share

  • key unshare

  • key set-attribute
uso de claves Usuario criptográfico

  • signo clave

[1] El servicio de clústeres está disponible exclusivamente en hsm2m.medium

Tipo de usuario

Los usuarios siguientes pueden ejecutar este comando.

  • Administrador

  • Usuario de criptografía (CU)

Sintaxis

aws-cloudhsm > help quorum token-sign generate
Generate a token

Usage: quorum token-sign generate --service <SERVICE> --token <TOKEN>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --service <SERVICE>
          Service the token will be used for

          Possible values:
          - user:
            User management service is used for executing quorum authenticated user management operations
          - quorum:
            Quorum management service is used for setting quorum values for any quorum service
          - cluster: 
            Cluster management service is used for executing quorum for cluster wide configuration managements like mtls enforcement, mtls registration and mtls deregistration
          - registration:
            Registration service is used for registering a public key for quorum authentication
          - key-usage:
            Key usage service is used for executing quorum authenticated key usage operations
          - key-management:
            Key management service is used for executing quorum authenticated key management operations

      --token <TOKEN>
          Filepath where the unsigned token file will be written
  -h, --help                     Print help

Ejemplo

Este comando escribirá un token sin firmar por cada uno de sus clústeres HSM en el archivo especificado portoken.

ejemplo : Escribe un token sin firmar por cada uno de tus HSM clústeres
aws-cloudhsm > quorum token-sign generate --service user --token /home/tfile
{
  "error_code": 0,
  "data": {
    "filepath": "/home/tfile"
  }
}

Argumentos

<CLUSTER_ID>

El ID del clúster en el que se va a ejecutar esta operación.

Obligatorio: si se han configurado varios clústeres.

<SERVICE>

Especifica el servicio autorizado de cuórum para el que se generará un token. Este parámetro es obligatorio.

Valores válidos

  • usuario: el servicio de administración de usuarios que se utiliza para ejecutar las operaciones de administración de usuarios autorizadas por cuórum.

  • cuórum: servicio de administración de quorum que se utiliza para establecer los valores de quorum autorizados para cualquier servicio autorizado de quorum.

  • clúster: el servicio de administración de clústeres que se utiliza para ejecutar el cuórum para las administraciones de configuración de todo el clúster, como la aplicación del mtls, el registro de mtls y la anulación del registro de mtls.

  • registro: genera un token sin firmar que se utiliza para registrar una clave pública para la autorización del cuórum.

  • uso de claves: genera un token sin firmar que se utiliza para ejecutar operaciones de uso de claves autorizadas por el quórum.

  • administración de claves: genera un token sin firmar que se utiliza para ejecutar operaciones de administración de claves autorizadas por el quórum.

Obligatorio: sí

<TOKEN>

Ruta de archivo en la que se escribirá el archivo de token sin firmar.

Obligatorio: sí

Temas relacionados de