Cambiar el valor mínimo de cuórum con la utilidad de administración de AWS CloudHSM - AWS CloudHSM

Cambiar el valor mínimo de cuórum con la utilidad de administración de AWS CloudHSM

Después de establecer el valor mínimo de cuórum para que los responsables de criptografía (CO) de AWS CloudHSM puedan usar la autenticación de cuórum, sería aconsejable que cambiara el valor mínimo de cuórum. El HSM le permite cambiar el valor mínimo de cuórum solo cuando el número de aprobadores es igual o superior al actual valor mínimo de cuórum. Por ejemplo, si el valor mínimo de cuórum es dos, al menos dos CO deben dar su aprobación para cambiar el valor mínimo de cuórum.

Para obtener aprobación de cuórum para cambiar el valor mínimo de cuórum, necesita un token de cuórum para el comando setMValue (servicio 4). Si necesita obtener un token de cuórum para el comando setMValue (servicio 4), el valor mínimo de cuórum del servicio 4 debe ser superior a uno. Esto significa que para poder cambiar el valor mínimo de cuórum para CO (servicio 3), es posible que tenga que cambiar el valor mínimo de cuórum para el servicio 4.

En la siguiente tabla se enumeran los identificadores del servicio de HSM junto con sus nombres, descripciones y los comandos que se incluyen en el servicio.

Identificador del servicio Nombre del servicio Descripción del servicio Comandos de HSM
3 USER_MGMT Gestión de usuarios HSM
  • createUser

  • deleteUser

  • changePswd (solo se aplica al cambiar la contraseña de otro usuario de HSM)

4 MISC_CO Servicio de CO misceláneo
  • setMValue

Para cambiar el valor mínimo de cuórum para responsables de criptografía
  1. Utilice el siguiente comando para iniciar la herramienta de línea de comandos cloudhsm_mgmt_util.

    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
  2. Utilice el comando loginHSM para iniciar sesión en los HSM como CO. Para obtener más información, consulte Administrar usuarios del HSM con la utilidad de administración de CloudHSM (CMU).

  3. Utilice el comando getMValue para obtener el valor mínimo de cuórum del servicio 3. Para obtener más información, consulte el siguiente ejemplo.

  4. Utilice el comando getMValue para obtener el valor mínimo de cuórum del servicio 4. Para obtener más información, consulte el siguiente ejemplo.

  5. Si el valor mínimo de cuórum del servicio 4 es inferior al valor del servicio 3, utilice el comando setMValue para cambiar el valor del servicio 4. Cambie el valor para el servicio 4 a uno que sea igual o superior al valor para el servicio 3. Para obtener más información, consulte el siguiente ejemplo.

  6. Obtenga un token de cuórum, teniendo cuidado de especificar el servicio 4 como el servicio para el que puede utilizar el token.

  7. Obtenga aprobaciones (firmas) de otros CO.

  8. Apruebe el token en el HSM.

  9. Utilice el comando setMValue para cambiar el valor mínimo de cuórum del servicio 3 (operaciones de administración de usuarios realizadas por CO).

ejemplo : obtención de valores mínimos de cuórum y cambiar el valor del servicio 4

El siguiente comando de ejemplo muestra que el valor mínimo de cuórum para el servicio 3 es actualmente dos.

aws-cloudhsm>getMValue 3 MValue of service 3[USER_MGMT] on server 0 : [2] MValue of service 3[USER_MGMT] on server 1 : [2]

El siguiente comando de ejemplo muestra que el valor mínimo de cuórum para el servicio 4 es actualmente uno.

aws-cloudhsm>getMValue 4 MValue of service 4[MISC_CO] on server 0 : [1] MValue of service 4[MISC_CO] on server 1 : [1]

Para cambiar el valor mínimo de cuórum del servicio 4, utilice el comando setMValue y establezca un valor que sea igual o superior al valor del servicio 3. El siguiente ejemplo establece el valor mínimo de cuórum para el servicio 4 en dos (2), el mismo valor establecido para el servicio 3.

aws-cloudhsm>setMValue 4 2 *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y Setting M Value(2) for 4 on 2 nodes

El siguiente comando muestra que el valor mínimo de cuórum es ahora dos para el servicio 3 y para el servicio 4.

aws-cloudhsm>getMValue 3 MValue of service 3[USER_MGMT] on server 0 : [2] MValue of service 3[USER_MGMT] on server 1 : [2]
aws-cloudhsm>getMValue 4 MValue of service 4[MISC_CO] on server 0 : [2] MValue of service 4[MISC_CO] on server 1 : [2]