Activation du cluster - AWS CloudHSM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation du cluster

Lorsque vous activez un AWS CloudHSM cluster, son état passe d'initialisé à actif. Vous pouvez ensuite gérer les utilisateurs du HSM et utiliser le HSM.

Important

Avant de pouvoir activer le cluster, vous devez d'abord copier le certificat émetteur vers l'emplacement par défaut de la plate-forme sur chaque instance EC2 connectée au cluster (vous créez le certificat émetteur lorsque vous initialisez le cluster).

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Après avoir placé le certificat émetteur, installez la CLI CloudHSM et exécutez la commande cluster activate sur votre premier HSM. Vous remarquerez que le compte administrateur du premier HSM de votre cluster possède le rôle unactivated-admin. Il s'agit d'un rôle temporaire qui n'existe qu'avant l'activation du cluster. Lorsque vous activez votre cluster, le rôle unactivated-admin bascule sur admin

Activation d’un cluster

  1. Connectez-vous à l'instance client que vous avez lancée précédemment. Pour plus d’informations, consultez Lancement d’une instance client Amazon EC2.. Vous pouvez démarrer une instance Linux ou un serveur Windows Server.

  2. Exécutez la CLI CloudHSM en mode interactif.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\> .\cloudhsm-cli.exe interactive

  3. (Facultatif) Utilisez la commande user list pour afficher les utilisateurs existants.

    aws-cloudhsm > user list
{
  "error_code": 0,
  "data": {
    "users": [
      {
        "username": "admin",
        "role": "unactivated-admin",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      },
      {
        "username": "app_user",
        "role": "internal(APPLIANCE_USER)",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      }
    ]
  }
}

  4. Utilisez la commande cluster activate pour définir le mot de passe administrateur d’origine.

    aws-cloudhsm > cluster activate
Enter password:<NewPassword>
Confirm password:<NewPassword>
{
  "error_code": 0,
  "data": "Cluster activation successful"
}

    Nous vous recommandons d'enregistrer le nouveau mot de passe dans une feuille de calcul réservée à cet effet. Ne perdez pas celle-ci. Nous vous recommandons d'imprimer une copie de la feuille des mots de passe, de l'utiliser pour enregistrer vos mots de passe HSM critiques et de la stocker dans un endroit sûr. Nous vous conseillons également de conserver une copie de cette feuille dans un espace de stockage sécurisé hors site.

  5. (Facultatif) Utilisez la commande user list pour vérifier que le type de l'utilisateur est désormais administrateur/responsable du chiffrement (CO). 

    aws-cloudhsm > user list
{
  "error_code": 0,
  "data": {
    "users": [
      {
        "username": "admin",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      },
       {
        "username": "app_user",
        "role": "internal(APPLIANCE_USER)",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      }
    ]
  }
}

  6. Utilisez la commande quit pour fermer l'outil de la CLI CloudHSM.

    aws-cloudhsm > quit

Pour plus d'informations sur l'utilisation de la CLI CloudHSM ou de l’utilitaire CMU, consultez les sections Comprendre les utilisateurs HSM et Comprendre la gestion des utilisateurs HSM avec l’utilitaire CMU.