Introducción a la utilidad de administración de CloudHSM (CMU) - AWS CloudHSM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Introducción a la utilidad de administración de CloudHSM (CMU)

La utilidad de administración CloudHSM (CMU) le permite administrar a los usuarios del módulo de seguridad de hardware (HSM). Utilice este tema para comenzar con las tareas básicas de administración de usuarios de HSM, como crear usuarios, enumerarlos y conectar la CMU al clúster.

  1. Para usar la CMU, primero debe utilizar la herramienta de configuración para actualizar la configuración de la CMU local con el parámetro --cmu y una dirección IP de uno de los HSM del clúster. Haga esto cada vez que utilice la CMU para asegurarse de administrar los usuarios de HSM en todos los HSM del clúster.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

  2. Ingrese el siguiente comando para iniciar la CLI en modo interactivo.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

    La salida será parecida a la que se muestra a continuación en función de la cantidad de HSM que tenga.

    Connecting to the server(s), it may take time
depending on the server(s) load, please wait...

Connecting to server '10.0.2.9': hostname '10.0.2.9', port 2225...
Connected to server '10.0.2.9': hostname '10.0.2.9', port 2225.

Connecting to server '10.0.3.11': hostname '10.0.3.11', port 2225...
Connected to server '10.0.3.11': hostname '10.0.3.11', port 2225.

Connecting to server '10.0.1.12': hostname '10.0.1.12', port 2225...
Connected to server '10.0.1.12': hostname '10.0.1.12', port 2225.

    El símbolo cambia a aws-cloudhsm> cuando se está ejecutando cloudhsm_mgmt_util.

  3. Utilice el comando loginHSM para iniciar sesión en el clúster. Cualquier usuario de cualquier tipo puede utilizar este comando para iniciar sesión en el clúster.

    El comando en el siguiente ejemplo inicia sesión como admin que es el responsable de criptografía (CO) predeterminado. La contraseña de este usuario se establece al activar el clúster. Puede usar el parámetro -hpswd para ocultar la contraseña.

    aws-cloudhsm>loginHSM CO admin -hpswd

    El sistema le solicitará su contraseña. Introduce la contraseña, el sistema la oculta y el resultado muestra que el comando se ha ejecutado correctamente y que usted se ha conectado a todos los HSM en el clúster.

    Enter password:


loginHSM success on server 0(10.0.2.9)
loginHSM success on server 1(10.0.3.11)
loginHSM success on server 2(10.0.1.12)

  4. Ejecute listUsers para listar todos los usuarios del clúster.

    aws-cloudhsm>listUsers

    En la CMU, se muestran todos los usuarios del clúster.

    
Users on server 0(10.0.2.9):
Number of users found:2

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              CO              admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
Users on server 1(10.0.3.11):
Number of users found:2

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              CO              admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
Users on server 2(10.0.1.12):
Number of users found:2

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              CO              admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO

  5. Utilice createUser para crear un nombre de usuario de CU example_user con una contraseña de password1.

    Utilice usuarios de CU en las aplicaciones para realizar operaciones criptográficas y de administración de claves. Puede crear usuarios de CU porque en el paso 3 inició sesión como usuario de CO. Solo los usuarios de CO pueden realizar tareas de administración de usuarios con la CMU, como crear y eliminar usuarios y cambiar las contraseñas de otros usuarios.

    aws-cloudhsm>createUser CU example_user password1

    La CMU le solicita información sobre la operación de creación de usuario.

    
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

  6. Para crear el usuario de CU example_user, escriba y.

  7. Ejecute listUsers para listar todos los usuarios del clúster. 

    aws-cloudhsm>listUsers

    La CMU muestra todos los usuarios del clúster, incluido el nuevo usuario de CU que acaba de crear.

    
Users on server 0(10.0.2.9):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              CO              admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CU              example_user                             NO               0               NO
Users on server 1(10.0.3.11):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              CO              admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CU              example_user                             NO               0               NO
Users on server 2(10.0.1.12):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              CO              admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CU              example_user                             NO               0               NO

  8. Utilice el comando logoutHSM para cerrar la sesión en los HSM.

    aws-cloudhsm>logoutHSM


logoutHSM success on server 0(10.0.2.9)
logoutHSM success on server 1(10.0.3.11)
logoutHSM success on server 2(10.0.1.12)

  9. Utilice el comando quit para detener cloudhsm_mgmt_util.

    aws-cloudhsm>quit


disconnecting from servers, please wait...