Activez le cluster dans AWS CloudHSM - AWS CloudHSM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activez le cluster dans AWS CloudHSM

Lorsque vous activez un AWS CloudHSM cluster, son état passe d'initialisé à actif. Vous pouvez ensuite gérer les utilisateurs du module de sécurité matériel (HSM) et utiliser le HSM.

Important

Avant de pouvoir activer le cluster, vous devez d'abord copier le certificat émetteur vers l'emplacement par défaut de la plateforme sur chaque EC2 instance qui se connecte au cluster (vous créez le certificat émetteur lorsque vous initialisez le cluster).

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Après avoir placé le certificat émetteur, installez Cloud HSM CLI et exécutez la cluster activatecommande sur votre premier certificatHSM. Vous remarquerez que le premier HSM compte administrateur de votre cluster possède le rôle d'administrateur non activé. Il s'agit d'un rôle temporaire qui n'existe qu'avant l'activation du cluster. Lorsque vous activez votre cluster, le rôle unactivated-admin bascule sur admin

Pour activer un cluster

  1. Connectez-vous à l'instance client que vous avez lancée précédemment. Pour de plus amples informations, veuillez consulter Lancez une instance EC2 client Amazon pour interagir avec AWS CloudHSM. Vous pouvez démarrer une instance Linux ou un serveur Windows Server.

  2. Exécutez le Cloud HSM CLI en mode interactif.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\> .\cloudhsm-cli.exe interactive

  3. (Facultatif) Utilisez la commande user list pour afficher les utilisateurs existants.

    aws-cloudhsm > user list
{
  "error_code": 0,
  "data": {
    "users": [
      {
        "username": "admin",
        "role": "unactivated-admin",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      },
      {
        "username": "app_user",
        "role": "internal(APPLIANCE_USER)",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      }
    ]
  }
}

  4. Utilisez la commande cluster activate pour définir le mot de passe administrateur d’origine.

    aws-cloudhsm > cluster activate
Enter password:<NewPassword>
Confirm password:<NewPassword>
{
  "error_code": 0,
  "data": "Cluster activation successful"
}

    Nous vous recommandons d'enregistrer le nouveau mot de passe dans une feuille de calcul réservée à cet effet. Ne perdez pas celle-ci. Nous vous recommandons d'imprimer une copie de la feuille de calcul des mots de passe, de l'utiliser pour enregistrer vos HSM mots de passe critiques, puis de la stocker dans un endroit sûr. Nous vous conseillons également de conserver une copie de cette feuille dans un espace de stockage sécurisé hors site.

  5. (Facultatif) Utilisez la commande user list pour vérifier que le type de l'utilisateur est désormais administrateur/responsable du chiffrement (CO). 

    aws-cloudhsm > user list
{
  "error_code": 0,
  "data": {
    "users": [
      {
        "username": "admin",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      },
       {
        "username": "app_user",
        "role": "internal(APPLIANCE_USER)",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      }
    ]
  }
}

  6. Utilisez la quit commande pour arrêter l'HSMCLIoutil Cloud.

    aws-cloudhsm > quit

Pour plus d'informations sur l'utilisation du cloud HSM CLI ou duCMU, consultez Comprendre HSM les utilisateurs et Comprendre la gestion des HSM utilisateurs avec CMU.