Crear un usuario de AWS CloudHSM con CMU - AWS CloudHSM
Tipo de usuarioSintaxisEjemplosArgumentosTemas relacionados de

Crear un usuario de AWS CloudHSM con CMU

Use el comando createUser en la cloudhsm_mgmt_util (CMU) para crear un usuario en los módulos de seguridad de hardware (HSM) en el clúster de AWS CloudHSM. Solo los responsables de criptografía (CO y PCO) pueden ejecutar este comando. Cuando el comando se ejecuta correctamente, crea el usuario en todos los HSM en el clúster.

Sin embargo, si configuración del HSM no es exacta, es posible que el usuario no se cree en todos los HSM. Para añadir el usuario a cualquier HSM en el que falte, utilice los comandos syncUser o createUser solo en los HSM en los que falte ese usuario. Para evitar errores de configuración, ejecute la herramienta configure con la opción -m.

Para poder ejecutar cualquier comando de CMU, debe iniciar la CMU e iniciar sesión en el HSM. Asegúrese de que inicia sesión con un tipo de usuario que pueda ejecutar los comandos que planea utilizar.

Si agrega o elimina uno o varios HSM, actualice los archivos de configuración de la CMU. De lo contrario, es posible que los cambios que realice no se hagan efectivos para todos los HSM del clúster.

Tipo de usuario

Los tipos de usuarios siguientes pueden ejecutar este comando.

  • Responsables de criptografía (CO, PRECO)

Sintaxis

Introduzca los argumentos en el orden especificado en el diagrama de sintaxis. Utilice el parámetro -hpswd para ocultar la contraseña. Para crear un usuario CO con autenticación de dos factores (2FA), utilice el parámetro -2fa e incluya una ruta de archivo. Para obtener más información, consulte Argumentos.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]

Ejemplos

En estos ejemplos, se muestra cómo se utiliza createUser para crear usuarios nuevos en los HSM.

ejemplo Creación de un responsable de criptografía

Este ejemplo crea a un responsable de criptografía (CO) en los HSM de un clúster. El primer comando utiliza loginHSM para iniciar sesión en los HSM como responsable de criptografía.

aws-cloudhsm> loginHSM CO admin 735782961

loginHSM success on server 0(10.0.0.1)
loginHSM success on server 1(10.0.0.2)
loginHSM success on server 1(10.0.0.3)

El segundo comando utiliza el comando createUser para crear alice, un nuevo responsable de criptografía en el HSM.

El mensaje de precaución explica que el comando crea usuarios en todos los HSM en el clúster. Sin embargo, si el comando produce un error en cualquier HSM, el usuario no existe en esos HSM. Para continuar, escriba y.

El resultado muestra que se creó el usuario nuevo en los tres HSM del clúster.

aws-cloudhsm> createUser CO alice 391019314

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User alice(CO) on 3 nodes

Cuando se completa el comando, alice tiene los mismos permisos en el HSM que el usuario CO admin, incluido el cambio de contraseña de cualquier usuario en los HSM.

El comando final utiliza el comando listUsers para verificar que alice existe en los tres HSM en el clúster. El resultado también muestra que se ha asignado a alice el ID de usuario 3.. Puede utilizar el ID de usuario para identificar alice en otros comandos, como findAllKeys.

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
Users on server 1(10.0.0.2):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO

Users on server 1(10.0.0.3):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
ejemplo : creación de un usuario de criptografía

Este ejemplo crea un usuario de criptografía (CU) bob, en el HSM. Los usuarios de criptografía pueden crear y administrar claves, pero no pueden administrar usuarios.

Después de escribir y para responder al mensaje de precaución, el resultado muestra que bob se creó en los tres HSM en el clúster. El nuevo CU puede iniciar sesión en el HSM para crear y administrar claves.

El comando utilizó el valor de contraseña defaultPassword. Más adelante, bob o cualquier CO pueden usar el comando changePswd para cambiar su contraseña.

aws-cloudhsm> createUser CU bob defaultPassword

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User bob(CU) on 3 nodes

Argumentos

Introduzca los argumentos en el orden especificado en el diagrama de sintaxis. Utilice el parámetro -hpswd para ocultar la contraseña. Para crear un usuario CO con autenticación de dos factores (2FA), utilice el parámetro -2fa e incluya una ruta de archivo. Para obtener más información acerca de la 2FA, consulte Administrar 2FA de usuarios.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]
<user-type>

Especifica el tipo de usuario. Este parámetro es obligatorio.

Para obtener información detallada sobre los tipos de usuario en un HSM, consulte Tipos de usuarios del HSM en la utilidad de administración de AWS CloudHSM.

Valores válidos:

  • CO: los responsables de criptografía pueden administrar usuarios, pero no pueden administrar claves.

  • CU: los usuarios de criptografía pueden crear y administrar claves, y usar claves en operaciones criptográficas.

El PRECO se convierte en un CO cuando asigna una contraseña durante la activación de HSM.

Obligatorio: sí

<user-name>

Especifica un nombre fácil de recordar para el usuario. La longitud máxima es de 31 caracteres. El único carácter especial permitido es un guion bajo (_).

No puede cambiar el nombre de un usuario después de crearlo. En los comandos cloudhsm_mgmt_util, el tipo de usuario y la contraseña distinguen entre mayúsculas y minúsculas, pero el nombre de usuario no.

Obligatorio: sí

<password | -hpswd >

Especifica una contraseña para el usuario. Escriba una cadena de entre 7 y 32 caracteres. Este valor distingue entre mayúsculas y minúsculas. La contraseña aparece en texto no cifrado cuando se escribe. Para ocultar la contraseña, utilice el parámetro -hpswd en lugar de la contraseña y siga las indicaciones.

Para cambiar la contraseña de un usuario, utilice changePswd. Cualquier usuario de HSM puede cambiar su propia contraseña, pero los usuarios CO pueden cambiar la contraseña de cualquier usuario (de cualquier tipo) en los HSM.

Obligatorio: sí

[-2fa </path/to/authdata>]

Especifica la creación de un usuario CO con la 2FA habilitada. Para obtener los datos necesarios para configurar la autenticación de 2FA, incluya una ruta a una ubicación del sistema de archivos con un nombre de archivo después del parámetro -2fa. Para obtener información sobre la configuración y cómo trabajar con 2FA, consulte Administrar 2FA de usuarios.

Requerido: no

Temas relacionados de