Usar la CLI de CloudHSM para gestionar la autenticación de cuórum (control de acceso M de N) - AWS CloudHSM
Descripción general de la estrategia de autenticación de cuórum con firma simbólicaDetalles adicionales sobre la autenticación de cuórum

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Usar la CLI de CloudHSM para gestionar la autenticación de cuórum (control de acceso M de N)

Los HSM de su AWS CloudHSM clúster admiten la autenticación de quórum, que también se conoce como control de acceso M of N. Con la autenticación de cuórum ningún usuario único del HSM puede realizar operaciones controladas mediante cuórum en el HSM. En su lugar, para llevar a cabo estas operaciones debe cooperar un número mínimo de usuarios del HSM (al menos 2). Con la autenticación de cuórum, puede añadir una capa adicional de protección al exigir la aprobación de más de un usuario del HSM.

La autenticación de cuórum puede controlar las siguientes operaciones:

Los siguientes temas contienen más información acerca de la autenticación de cuórum en AWS CloudHSM.

Temas

Descripción general de la estrategia de autenticación de cuórum con firma simbólica

En los pasos siguientes se resumen los procesos de autenticación de cuórum. Para informarse de las herramientas y los específicos, consulte Uso de la autenticación de cuórum para administradores.

  1. Cada usuario del HSM crea una clave asimétrica para la firma. Los usuarios lo hacen fuera del HSM, teniendo cuidado de proteger la clave adecuadamente.

  2. Cada usuario del HSM se conecta al HSM y registra la parte pública de su clave de firma (la clave pública) en el HSM.

  3. Cuando un usuario del HSM quiere realizar una operación controlada mediante cuórum, inicia sesión en el HSM y obtiene un token de cuórum.

  4. El usuario del HSM pasa el token de cuórum a uno o varios usuarios de ese HSM y les pide su aprobación.

  5. Los otros usuarios del HSM dan su aprobación utilizando sus claves para firmar criptográficamente el token de cuórum. Esto se produce fuera del HSM.

  6. Cuando el usuario del HSM tiene el número de aprobaciones requerido, el mismo usuario inicia sesión en el HSM y ejecuta la operación controlada por cuórum con el argumento --approval, proporcionando el archivo del token de cuórum firmado, que contiene todas las aprobaciones (firmas) necesarias.

  7. El HSM utiliza las claves públicas registradas de cada firmante para verificar las firmas. Si las firmas son válidas, el HSM aprueba el token y se lleva a cabo la operación controlada por cuórum.

Detalles adicionales sobre la autenticación de cuórum

Tenga en cuenta la siguiente información adicional acerca del uso de la autenticación de cuórum en AWS CloudHSM.

  • Un usuario del HSM puede firmar su propio token de cuórum; es decir, el usuario solicitante puede proporcionar una de las aprobaciones exigidas para la autenticación de cuórum.

  • Elija el número mínimo de aprobadores de cuórum para las operaciones controladas mediante cuórum. El número más pequeño que puede elegir es dos (2) y el número más grande que puede elegir es ocho (8).

  • El HSM puede almacenar hasta 1024 tokens de cuórum. Si el HSM ya tiene 1024 tokens cuando intenta crear uno nuevo, el HSM eliminará uno de los tokens que haya caducado. De forma predeterminada, los tokens caducan diez minutos después de su creación.

  • Si la MFA está habilitada, el clúster usa la misma clave para la autenticación de cuórum y para la autenticación multifactor (MFA) Para obtener más información sobre el uso de la autenticación de cuórum y la 2FA, consulte el apartado Uso de la CLI de CloudHSM para gestionar el MFA.

  • Cada HSM solo puede contener un token por servicio a la vez.