Iniciar y cerrar sesión en un HSM mediante la utilidad de administración de AWS CloudHSM
Use los comandos loginHSM y logoutHSM en la cloudhsm_mgmt_util del AWS CloudHSM para iniciar y cerrar sesión en cada HSM de un clúster. Todos los usuarios del tipo que sean pueden utilizar estos comandos.
nota
Si se superan cinco intentos de inicio de sesión incorrectos, se bloquea la cuenta. Para desbloquear la cuenta, un responsable de criptografía (CO) debe restablecer la contraseña mediante el comando changePswd en cloudhsm_mgmt_util.
Antes de que ejecute estos comandos cloudhsm_mgmt_util, debe iniciar cloudhsm_mgmt_util.
Si añade o elimina algún HSM, actualice los archivos de configuración utilizados por el cliente de AWS CloudHSM y la herramienta de línea de comandos. De lo contrario, es posible que los cambios que realice no se hagan efectivos en todos los HSM del clúster.
Si tiene más de un HSM en el clúster, es posible que puedan realizarse intentos adicionales de inicio de sesión incorrectos antes de que se bloquee la cuenta. Esto se debe a que el cliente CloudHSM equilibra la carga entre los diversos HSM. Por lo tanto, el intento de inicio de sesión no puede comenzar en el mismo HSM cada vez. Si va a probar esta funcionalidad, recomendamos que lo haga en un clúster con un solo HSM activo.
Si creó el clúster antes de febrero de 2018, la cuenta se bloquea después de 20 intentos de inicio de sesión incorrectos.
Tipo de usuario
Los usuarios siguientes pueden ejecutar estos comandos.
-
Responsable de criptografía previa (PRECO)
-
Responsable de criptografía (CO)
-
Usuario de criptografía (CU)
Sintaxis
Introduzca los argumentos en el orden especificado en el diagrama de sintaxis. Utilice el parámetro -hpswd
para ocultar la contraseña. Para iniciar sesión con la autenticación de dos factores (2FA), utilice el parámetro -2fa
e incluya una ruta de archivo. Para obtener más información, consulte Argumentos.
loginHSM <
user-type
> <user-name
> <password
|-hpswd> [-2fa </path/to/authdata
>]
logoutHSM
Ejemplos
En estos ejemplos, se muestra cómo utilizar loginHSM y logoutHSM para iniciar y cerrar sesión en todos los HSM de un clúster.
ejemplo : inicio de sesión en los HSM de un clúster
Este comando inicia sesión en todos los HSM de un clúster con las credenciales de un usuario de CO llamado admin
y con la contraseña co12345
. El resultado muestra que el comando se ha ejecutado correctamente y que se ha conectado a los HSM (que, en este caso, son server 0
y server 1
).
aws-cloudhsm>
loginHSM CO admin co12345
loginHSM success on server 0(10.0.2.9) loginHSM success on server 1(10.0.3.11)
ejemplo : inicio de sesión con una contraseña oculta
Este comando es el mismo que en el ejemplo anterior, salvo que esta vez se especifica que el sistema debe ocultar la contraseña.
aws-cloudhsm>
loginHSM CO admin -hpswd
El sistema le solicitará su contraseña. Introduzca la contraseña. El sistema la ocultará, y el resultado mostrará que el comando se ha ejecutado correctamente y se ha conectado a los HSM.
Enter password:
loginHSM success on server 0(10.0.2.9) loginHSM success on server 1(10.0.3.11)
aws-cloudhsm>
ejemplo : cierre de sesión de un HSM
Este comando cierra la sesión de los HSM en los que tenga la sesión iniciada (que, en este caso, son server 0
y server 1
). El resultado muestra que el comando se ha ejecutado correctamente y que usted se ha desconectado de los HSM.
aws-cloudhsm>
logoutHSM
logoutHSM success on server 0(10.0.2.9) logoutHSM success on server 1(10.0.3.11)
Argumentos
Introduzca los argumentos en el orden especificado en el diagrama de sintaxis. Utilice el parámetro -hpswd
para ocultar la contraseña. Para iniciar sesión con la autenticación de dos factores (2FA), utilice el parámetro -2fa
e incluya una ruta de archivo. Para obtener más información acerca de cómo trabajar con la 2FA, consulte Administrar 2FA de usuarios
loginHSM <
user-type
> <user-name
> <password
|-hpswd> [-2fa </path/to/authdata
>]
- <user type>
-
Especifica el tipo de usuario que inicia sesión en los HSM. Para obtener más información, consulte Tipo de usuario más arriba.
Obligatorio: sí
- <user name>
-
Especifica el nombre de usuario del usuario que va a iniciar sesión en los HSM.
Obligatorio: sí
- <password | -hpswd >
-
Especifica la contraseña del usuario que va a iniciar sesión en los HSM. Para ocultar la contraseña, utilice el parámetro
-hpswd
en lugar de la contraseña y siga las indicaciones.Obligatorio: sí
- [-2fa </path/to/authdata>]
-
Especifica que el sistema debe utilizar un segundo factor para autenticar a este usuario de CO con 2FA habilitado. Para obtener los datos necesarios para iniciar sesión con la 2FA, incluya una ruta a una ubicación en el sistema de archivos con un nombre de archivo después del parámetro
-2fa
. Para obtener más información acerca de cómo trabajar con la 2FA, consulte Administrar 2FA de usuarios.Requerido: no