Crea un AWS CloudHSM usuario con CMU - AWS CloudHSM
Tipo de usuarioSintaxisEjemplosArgumentosTemas relacionados de

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crea un AWS CloudHSM usuario con CMU

Usa el createUser comando de cloudhsm_mgmt_util () para crear un usuario en los módulos de seguridad de hardware () CMU del clúster. HSM AWS CloudHSM Solo los oficiales de cifrado (y) pueden ejecutar este comando. COs PRECOs Cuando el comando se ejecuta correctamente, se crea el usuario HSMs en todo el clúster.

Si la HSM configuración no es correcta, es posible que no se haya creado el usuario en todas las HSMs versiones. Para añadir el usuario a un usuario HSMs en el que no aparezca, utilice el createUsercomando syncUsero solo en aquellos en los HSMs que falte ese usuario. Para evitar errores de configuración, ejecute la herramienta configure con la opción -m.

Antes de ejecutar cualquier CMU comando, debe iniciar CMU e iniciar sesión enHSM. Asegúrese de que inicia sesión con un tipo de usuario que pueda ejecutar los comandos que planea utilizar.

Si añade o eliminaHSMs, actualice los archivos de configuración deCMU. De lo contrario, es posible que los cambios que realice no sean efectivos para todos HSMs los miembros del clúster.

Tipo de usuario

Los tipos de usuarios siguientes pueden ejecutar este comando.

  • Funcionarios de criptografía (CO,PRECO)

Sintaxis

Introduzca los argumentos en el orden especificado en el diagrama de sintaxis. Utilice el parámetro -hpswd para ocultar la contraseña. Para crear un usuario CO con autenticación de dos factores (2FA), utilice el parámetro -2fa e incluya una ruta de archivo. Para obtener más información, consulte Argumentos.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]

Ejemplos

Estos ejemplos muestran cómo utilizarlos createUser para crear nuevos usuarios en suHSMs.

ejemplo Creación de un responsable de criptografía

En este ejemplo, se crea un oficial de cifrado (CO) HSMs en un clúster. El primer comando usa login HSM para iniciar sesión HSM como criptooficial.

aws-cloudhsm> loginHSM CO admin 735782961

loginHSM success on server 0(10.0.0.1)
loginHSM success on server 1(10.0.0.2)
loginHSM success on server 1(10.0.0.3)

El segundo comando usa el createUser comando para crear alice un nuevo oficial de cifrado en elHSM.

El mensaje de advertencia explica que el comando crea usuarios en todos los HSMs componentes del clúster. Sin embargo, si el comando falla en alguno de ellosHSMs, el usuario no existirá en ellosHSMs. Para continuar, escriba y.

El resultado muestra que el nuevo usuario se creó en los tres HSMs del clúster.

aws-cloudhsm> createUser CO alice 391019314

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User alice(CO) on 3 nodes

Cuando se complete el comando, alice tendrá los mismos permisos que el usuario admin CO, incluido el cambio de la contraseña de cualquier usuario delHSMs. HSM

El último comando utiliza el listUserscomando para comprobar que alice existe en los tres HSMs componentes del clúster. El resultado también muestra que se ha asignado a alice el ID de usuario 3.. El ID de usuario se utiliza para identificarse alice en otros comandos, como findAllKeys.

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
Users on server 1(10.0.0.2):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO

Users on server 1(10.0.0.3):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
ejemplo : creación de un usuario de criptografía

En este ejemplo se crea un usuario criptográfico (CU)bob,, en elHSM. Los usuarios de criptografía pueden crear y administrar claves, pero no pueden administrar usuarios.

Después de escribir y para responder al mensaje de precaución, el resultado muestra que bob se creó en los tres HSMs componentes del clúster. La nueva CU puede iniciar sesión en la HSM para crear y administrar las claves.

El comando utilizó el valor de contraseña defaultPassword. Más adelante, bob o cualquier CO puede usar el changePswdcomando para cambiar su contraseña.

aws-cloudhsm> createUser CU bob defaultPassword

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User bob(CU) on 3 nodes

Argumentos

Introduzca los argumentos en el orden especificado en el diagrama de sintaxis. Utilice el parámetro -hpswd para ocultar la contraseña. Para crear un usuario CO con autenticación de dos factores (2FA), utilice el parámetro -2fa e incluya una ruta de archivo. Para obtener más información acerca de la 2FA, consulte Administre la 2FA de los usuarios.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]
<user-type>

Especifica el tipo de usuario. Este parámetro es obligatorio.

Para obtener información detallada sobre los tipos de usuario de un usuarioHSM, consulteHSMtipos de usuario para la utilidad AWS CloudHSM de administración.

Valores válidos:

  • CO: los responsables de criptografía pueden administrar usuarios, pero no pueden administrar claves.

  • CU: los usuarios de criptografía pueden crear y administrar claves, y usar claves en operaciones criptográficas.

PRECOSe convierte en CO al asignar una contraseña durante la HSMactivación.

Obligatorio: sí

<user-name>

Especifica un nombre fácil de recordar para el usuario. La longitud máxima es de 31 caracteres. El único carácter especial permitido es un guion bajo (_).

No puede cambiar el nombre de un usuario después de crearlo. En los comandos cloudhsm_mgmt_util, el tipo de usuario y la contraseña distinguen entre mayúsculas y minúsculas, pero el nombre de usuario no.

Obligatorio: sí

<password | -hpswd >

Especifica una contraseña para el usuario. Escriba una cadena de entre 7 y 32 caracteres. Este valor distingue entre mayúsculas y minúsculas. La contraseña aparece en texto no cifrado cuando se escribe. Para ocultar la contraseña, utilice el parámetro -hpswd en lugar de la contraseña y siga las indicaciones.

Para cambiar la contraseña de un usuario, utilice changePswd. Cualquier HSM usuario puede cambiar su propia contraseña, pero los usuarios de CO pueden cambiar la contraseña de cualquier usuario (de cualquier tipo) delHSMs.

Obligatorio: sí

[-2fa </ >path/to/authdata]

Especifica la creación de un usuario CO con la 2FA habilitada. Para obtener los datos necesarios para configurar la autenticación de 2FA, incluya una ruta a una ubicación del sistema de archivos con un nombre de archivo después del parámetro -2fa. Para obtener información sobre la configuración y cómo trabajar con 2FA, consulte Administre la 2FA de los usuarios.

Obligatorio: no

Temas relacionados de