Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Crea un AWS CloudHSM usuario con CMU
Usa el createUser comando de cloudhsm_mgmt_util () para crear un usuario en los módulos de seguridad de hardware () CMU del clúster. HSM AWS CloudHSM Solo los oficiales de cifrado (y) pueden ejecutar este comando. COs PRECOs Cuando el comando se ejecuta correctamente, se crea el usuario HSMs en todo el clúster.
Si la HSM configuración no es correcta, es posible que no se haya creado el usuario en todas las HSMs versiones. Para añadir el usuario a un usuario HSMs en el que no aparezca, utilice el createUsercomando syncUsero solo en aquellos en los HSMs que falte ese usuario. Para evitar errores de configuración, ejecute la herramienta configure con la opción -m
.
Antes de ejecutar cualquier CMU comando, debe iniciar CMU e iniciar sesión enHSM. Asegúrese de que inicia sesión con un tipo de usuario que pueda ejecutar los comandos que planea utilizar.
Si añade o eliminaHSMs, actualice los archivos de configuración deCMU. De lo contrario, es posible que los cambios que realice no sean efectivos para todos HSMs los miembros del clúster.
Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
-
Funcionarios de criptografía (CO,PRECO)
Sintaxis
Introduzca los argumentos en el orden especificado en el diagrama de sintaxis. Utilice el parámetro -hpswd
para ocultar la contraseña. Para crear un usuario CO con autenticación de dos factores (2FA), utilice el parámetro -2fa
e incluya una ruta de archivo. Para obtener más información, consulte Argumentos.
createUser <
user-type
> <user-name
> <password
|-hpswd> [-2fa </path/to/authdata
>]
Ejemplos
Estos ejemplos muestran cómo utilizarlos createUser para crear nuevos usuarios en suHSMs.
ejemplo Creación de un responsable de criptografía
En este ejemplo, se crea un oficial de cifrado (CO) HSMs en un clúster. El primer comando usa login HSM para iniciar sesión HSM como criptooficial.
aws-cloudhsm>
loginHSM CO admin 735782961
loginHSM success on server 0(10.0.0.1) loginHSM success on server 1(10.0.0.2) loginHSM success on server 1(10.0.0.3)
El segundo comando usa el createUser comando para crear alice
un nuevo oficial de cifrado en elHSM.
El mensaje de advertencia explica que el comando crea usuarios en todos los HSMs componentes del clúster. Sin embargo, si el comando falla en alguno de ellosHSMs, el usuario no existirá en ellosHSMs. Para continuar, escriba y
.
El resultado muestra que el nuevo usuario se creó en los tres HSMs del clúster.
aws-cloudhsm>
createUser CO alice 391019314
*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User alice(CO) on 3 nodes
Cuando se complete el comando, alice
tendrá los mismos permisos que el usuario admin
CO, incluido el cambio de la contraseña de cualquier usuario delHSMs. HSM
El último comando utiliza el listUserscomando para comprobar que alice
existe en los tres HSMs componentes del clúster. El resultado también muestra que se ha asignado a alice
el ID de usuario 3
..
El ID de usuario se utiliza para identificarse alice
en otros comandos, como findAllKeys.
aws-cloudhsm>
listUsers
Users on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.2): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.3): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO
ejemplo : creación de un usuario de criptografía
En este ejemplo se crea un usuario criptográfico (CU)bob
,, en elHSM. Los usuarios de criptografía pueden crear y administrar claves, pero no pueden administrar usuarios.
Después de escribir y
para responder al mensaje de precaución, el resultado muestra que bob
se creó en los tres HSMs componentes del clúster. La nueva CU puede iniciar sesión en la HSM para crear y administrar las claves.
El comando utilizó el valor de contraseña defaultPassword
. Más adelante, bob
o cualquier CO puede usar el changePswdcomando para cambiar su contraseña.
aws-cloudhsm>
createUser CU bob defaultPassword
*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User bob(CU) on 3 nodes
Argumentos
Introduzca los argumentos en el orden especificado en el diagrama de sintaxis. Utilice el parámetro -hpswd
para ocultar la contraseña. Para crear un usuario CO con autenticación de dos factores (2FA), utilice el parámetro -2fa
e incluya una ruta de archivo. Para obtener más información acerca de la 2FA, consulte Administre la 2FA de los usuarios.
createUser <
user-type
> <user-name
> <password
|-hpswd> [-2fa </path/to/authdata
>]
- <user-type>
-
Especifica el tipo de usuario. Este parámetro es obligatorio.
Para obtener información detallada sobre los tipos de usuario de un usuarioHSM, consulteHSMtipos de usuario para la utilidad AWS CloudHSM de administración.
Valores válidos:
-
CO: los responsables de criptografía pueden administrar usuarios, pero no pueden administrar claves.
-
CU: los usuarios de criptografía pueden crear y administrar claves, y usar claves en operaciones criptográficas.
PRECOSe convierte en CO al asignar una contraseña durante la HSMactivación.
Obligatorio: sí
-
- <user-name>
-
Especifica un nombre fácil de recordar para el usuario. La longitud máxima es de 31 caracteres. El único carácter especial permitido es un guion bajo (_).
No puede cambiar el nombre de un usuario después de crearlo. En los comandos cloudhsm_mgmt_util, el tipo de usuario y la contraseña distinguen entre mayúsculas y minúsculas, pero el nombre de usuario no.
Obligatorio: sí
- <password | -hpswd >
-
Especifica una contraseña para el usuario. Escriba una cadena de entre 7 y 32 caracteres. Este valor distingue entre mayúsculas y minúsculas. La contraseña aparece en texto no cifrado cuando se escribe. Para ocultar la contraseña, utilice el parámetro
-hpswd
en lugar de la contraseña y siga las indicaciones.Para cambiar la contraseña de un usuario, utilice changePswd. Cualquier HSM usuario puede cambiar su propia contraseña, pero los usuarios de CO pueden cambiar la contraseña de cualquier usuario (de cualquier tipo) delHSMs.
Obligatorio: sí
- [-2fa </ >path/to/authdata]
-
Especifica la creación de un usuario CO con la 2FA habilitada. Para obtener los datos necesarios para configurar la autenticación de 2FA, incluya una ruta a una ubicación del sistema de archivos con un nombre de archivo después del parámetro
-2fa
. Para obtener información sobre la configuración y cómo trabajar con 2FA, consulte Administre la 2FA de los usuarios.Obligatorio: no