Crear un usuario de AWS CloudHSM con CMU
Use el comando createUser en la cloudhsm_mgmt_util (CMU) para crear un usuario en los módulos de seguridad de hardware (HSM) en el clúster de AWS CloudHSM. Solo los responsables de criptografía (CO y PCO) pueden ejecutar este comando. Cuando el comando se ejecuta correctamente, crea el usuario en todos los HSM en el clúster.
Sin embargo, si configuración del HSM no es exacta, es posible que el usuario no se cree en todos los HSM. Para añadir el usuario a cualquier HSM en el que falte, utilice los comandos syncUser o createUser solo en los HSM en los que falte ese usuario. Para evitar errores de configuración, ejecute la herramienta configure con la opción -m
.
Para poder ejecutar cualquier comando de CMU, debe iniciar la CMU e iniciar sesión en el HSM. Asegúrese de que inicia sesión con un tipo de usuario que pueda ejecutar los comandos que planea utilizar.
Si agrega o elimina uno o varios HSM, actualice los archivos de configuración de la CMU. De lo contrario, es posible que los cambios que realice no se hagan efectivos para todos los HSM del clúster.
Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
-
Responsables de criptografía (CO, PRECO)
Sintaxis
Introduzca los argumentos en el orden especificado en el diagrama de sintaxis. Utilice el parámetro -hpswd
para ocultar la contraseña. Para crear un usuario CO con autenticación de dos factores (2FA), utilice el parámetro -2fa
e incluya una ruta de archivo. Para obtener más información, consulte Argumentos.
createUser <
user-type
> <user-name
> <password
|-hpswd> [-2fa </path/to/authdata
>]
Ejemplos
En estos ejemplos, se muestra cómo se utiliza createUser para crear usuarios nuevos en los HSM.
ejemplo Creación de un responsable de criptografía
Este ejemplo crea a un responsable de criptografía (CO) en los HSM de un clúster. El primer comando utiliza loginHSM para iniciar sesión en los HSM como responsable de criptografía.
aws-cloudhsm>
loginHSM CO admin 735782961
loginHSM success on server 0(10.0.0.1) loginHSM success on server 1(10.0.0.2) loginHSM success on server 1(10.0.0.3)
El segundo comando utiliza el comando createUser para crear alice
, un nuevo responsable de criptografía en el HSM.
El mensaje de precaución explica que el comando crea usuarios en todos los HSM en el clúster. Sin embargo, si el comando produce un error en cualquier HSM, el usuario no existe en esos HSM. Para continuar, escriba y
.
El resultado muestra que se creó el usuario nuevo en los tres HSM del clúster.
aws-cloudhsm>
createUser CO alice 391019314
*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User alice(CO) on 3 nodes
Cuando se completa el comando, alice
tiene los mismos permisos en el HSM que el usuario CO admin
, incluido el cambio de contraseña de cualquier usuario en los HSM.
El comando final utiliza el comando listUsers para verificar que alice
existe en los tres HSM en el clúster. El resultado también muestra que se ha asignado a alice
el ID de usuario 3
..
Puede utilizar el ID de usuario para identificar alice
en otros comandos, como findAllKeys.
aws-cloudhsm>
listUsers
Users on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.2): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.3): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO
ejemplo : creación de un usuario de criptografía
Este ejemplo crea un usuario de criptografía (CU) bob
, en el HSM. Los usuarios de criptografía pueden crear y administrar claves, pero no pueden administrar usuarios.
Después de escribir y
para responder al mensaje de precaución, el resultado muestra que bob
se creó en los tres HSM en el clúster. El nuevo CU puede iniciar sesión en el HSM para crear y administrar claves.
El comando utilizó el valor de contraseña defaultPassword
. Más adelante, bob
o cualquier CO pueden usar el comando changePswd para cambiar su contraseña.
aws-cloudhsm>
createUser CU bob defaultPassword
*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User bob(CU) on 3 nodes
Argumentos
Introduzca los argumentos en el orden especificado en el diagrama de sintaxis. Utilice el parámetro -hpswd
para ocultar la contraseña. Para crear un usuario CO con autenticación de dos factores (2FA), utilice el parámetro -2fa
e incluya una ruta de archivo. Para obtener más información acerca de la 2FA, consulte Administrar 2FA de usuarios.
createUser <
user-type
> <user-name
> <password
|-hpswd> [-2fa </path/to/authdata
>]
- <user-type>
-
Especifica el tipo de usuario. Este parámetro es obligatorio.
Para obtener información detallada sobre los tipos de usuario en un HSM, consulte Tipos de usuarios del HSM en la utilidad de administración de AWS CloudHSM.
Valores válidos:
-
CO: los responsables de criptografía pueden administrar usuarios, pero no pueden administrar claves.
-
CU: los usuarios de criptografía pueden crear y administrar claves, y usar claves en operaciones criptográficas.
El PRECO se convierte en un CO cuando asigna una contraseña durante la activación de HSM.
Obligatorio: sí
-
- <user-name>
-
Especifica un nombre fácil de recordar para el usuario. La longitud máxima es de 31 caracteres. El único carácter especial permitido es un guion bajo (_).
No puede cambiar el nombre de un usuario después de crearlo. En los comandos cloudhsm_mgmt_util, el tipo de usuario y la contraseña distinguen entre mayúsculas y minúsculas, pero el nombre de usuario no.
Obligatorio: sí
- <password | -hpswd >
-
Especifica una contraseña para el usuario. Escriba una cadena de entre 7 y 32 caracteres. Este valor distingue entre mayúsculas y minúsculas. La contraseña aparece en texto no cifrado cuando se escribe. Para ocultar la contraseña, utilice el parámetro
-hpswd
en lugar de la contraseña y siga las indicaciones.Para cambiar la contraseña de un usuario, utilice changePswd. Cualquier usuario de HSM puede cambiar su propia contraseña, pero los usuarios CO pueden cambiar la contraseña de cualquier usuario (de cualquier tipo) en los HSM.
Obligatorio: sí
- [-2fa </path/to/authdata>]
-
Especifica la creación de un usuario CO con la 2FA habilitada. Para obtener los datos necesarios para configurar la autenticación de 2FA, incluya una ruta a una ubicación del sistema de archivos con un nombre de archivo después del parámetro
-2fa
. Para obtener información sobre la configuración y cómo trabajar con 2FA, consulte Administrar 2FA de usuarios.Requerido: no