Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de l'Utilitaire de gestion CloudHSM (CMU) pour gérer les utilisateurs
Cette rubrique fournit des step-by-step instructions sur la gestion des utilisateurs du module de sécurité matérielle (HSM) à l'aide de l'utilitaire de gestion CloudHSM (CMU), un outil de ligne de commande fourni avec le SDK client. Pour plus d'informations sur le CMU ou les utilisateurs HSM, veuillez consulter Utilitaire de gestion CloudHSM et Comprendre les utilisateurs HSM.
Sections
Comprendre la gestion des utilisateurs HSM avec le CMU
Pour gérer les utilisateurs HSM, vous devez vous connecter au HSM avec le nom d'utilisateur et le mot de passe d'un responsable de chiffrement (CO). Seul les CO peuvent gérer d'autres utilisateurs. Le HSM contient un responsable du chiffrement par défaut (CO) appelé admin Vous définissez le mot de passe pour admin lorsque vous avez activé le cluster.
Pour utiliser le CMU, vous devez utiliser l'outil de configuration pour mettre à jour la configuration locale. Le CMU crée sa propre connexion au cluster et cette connexion n'est pas consciente du cluster. Pour suivre les informations du cluster, le CMU gère un fichier de configuration local. Cela signifie que chaque fois que vous utilisez le CMU, vous devez d'abord mettre à jour le fichier de configuration en exécutant l'outil de ligne de commande configure avec le paramètre --cmu
. Si vous utilisez le SDK client 3.2.1 ou une version antérieure, vous devez utiliser un paramètre différent de --cmu
. Pour plus d’informations, consultez Utilisation du CMU avec le SDK client 3.2.1 et versions antérieures.
Le paramètre --cmu
vous oblige à ajouter l'adresse IP d'un HSM dans votre cluster. Si vous avez plusieurs HSM, vous pouvez utiliser n'importe quelle adresse IP. Cela garantit que le CMU peut propager les modifications que vous apportez sur l'ensemble du cluster. N'oubliez pas que le CMU utilise son fichier local pour suivre les informations du cluster. Si le cluster a changé depuis la dernière fois que vous avez utilisé le CMU depuis un hôte particulier, vous devez ajouter ces modifications au fichier de configuration local stocké sur cet hôte. N'ajoutez ni ne supprimez jamais de HSM lorsque vous utilisez la CMU.
Pour obtenir une adresse IP pour un HSM (console)
Ouvrez la AWS CloudHSM console à l'adresse https://console.aws.amazon.com/cloudhsm/home
. -
Pour changer de région AWS, utilisez le Sélecteur de région dans l’angle supérieur droit de la page.
-
Pour ouvrir la page détaillée du cluster, choisissez l'ID du cluster dans le tableau des clusters.
-
Pour obtenir l'adresse IP, dans l'onglet HSM, choisissez l'une des adresses IP répertoriées sous Adresse IP ENI.
Pour obtenir une adresse IP pour un HSM ()AWS CLI
-
Obtenez l'adresse IP d'un HSM à l'aide de la commande describe-clusters d’ AWS CLI. Dans la sortie de la commande, l’adresse IP des HSM sont les valeurs de
EniIp
.$
aws cloudhsmv2 describe-clusters
{ "Clusters": [ { ... } "Hsms": [ { ... "EniIp": "10.0.0.9", ... }, { ... "EniIp": "10.0.1.6", ...
Utilisation du CMU avec le SDK client 3.2.1 et versions antérieures
Avec le SDK client 3.3.0, la prise en charge du --cmu
paramètre AWS CloudHSM a été ajoutée, ce qui simplifie le processus de mise à jour du fichier de configuration de la CMU. Si vous utilisez une version de CMU issue du SDK client 3.2.1 ou d'une version antérieure, vous devez continuer à utiliser les paramètres -a
et -m
pour mettre à jour le fichier de configuration. Pour plus d'informations sur ces paramètres, veuillez consulter l’Outil de configuration.
Télécharger l'Utilitaire de gestion CloudHSM
La dernière version de CMU est disponible pour les tâches de gestion des utilisateurs HSM, que vous utilisiez le SDK client 5 ou le SDK client 3.
Pour télécharger et installer le CMU
-
Téléchargez et installez le CMU.
Comment gérer les utilisateurs du HSM avec le CMU
Cette section inclut les commandes de base pour gérer les utilisateurs HSM avec le CMU.
Utilisez createUser pour créer de nouveaux utilisateurs sur le HSM. Vous devez vous connecter en tant que CO pour créer un utilisateur.
Pour créer un nouvel utilisateur CO
-
Utilisez l'outil de configuration pour mettre à jour la configuration du CMU.
-
Démarrer le CMU.
-
Connectez-vous au HSM en tant qu'utilisateur CO.
aws-cloudhsm>
loginHSM CO admin co12345
Assurez-vous que le nombre de connexions répertoriées par le CMU correspond au nombre de HSM du cluster. Si ce n'est pas le cas, déconnectez-vous et recommencez.
-
Utilisez createUser pour créer un utilisateur CO nommé
example_officer
dont le mot de passe estpassword1
.aws-cloudhsm>
createUser CO example_officer password1
L’utilitaire CMU vous invite à réaliser l’opération de création d’utilisateurs.
*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
-
Tapez
y
.
Pour créer un nouvel utilisateur CU
-
Utilisez l'outil de configuration pour mettre à jour la configuration du CMU.
-
Démarrer le CMU.
-
Connectez-vous au HSM en tant qu'utilisateur CO.
aws-cloudhsm>
loginHSM CO admin co12345
Assurez-vous que le nombre de connexions répertoriées par le CMU correspond au nombre de HSM du cluster. Si ce n'est pas le cas, déconnectez-vous et recommencez.
-
Utilisez createUser pour créer un utilisateur CU nommé
example_user
dont le mot de passe estpassword1
.aws-cloudhsm>
createUser CU example_user password1
L’utilitaire CMU vous invite à réaliser l’opération de création d’utilisateurs.
*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
-
Tapez
y
.
Pour plus d'informations sur createUser, veuillez consulter Créer un utilisateur.
Utilisez la commande listUsers pour répertorier tous les utilisateurs du cluster. Vous n'avez pas besoin de vous connecter pour exécuter listUsers et tous les types d'utilisateurs peuvent répertorier des utilisateurs.
Pour répertorier tous les utilisateurs du cluster
-
Utilisez l'outil de configuration pour mettre à jour la configuration du CMU.
-
Démarrer le CMU.
-
Utilisez listUsers pour répertorier tous les utilisateurs du cluster.
aws-cloudhsm>
listUsers
L’utilitaire CMU répertorie tous les utilisateurs du cluster.
Users on server 0(10.0.2.9): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 AU app_user NO 0 NO 2 CO example_officer NO 0 NO 3 CU example_user NO 0 NO Users on server 1(10.0.3.11): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 AU app_user NO 0 NO 2 CO example_officer NO 0 NO 3 CU example_user NO 0 NO Users on server 2(10.0.1.12): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 AU app_user NO 0 NO 2 CO example_officer NO 0 NO 3 CU example_user NO 0 NO
Pour de plus amples informations sur listUsers, veuillez consulter répertorier les utilisateurs.
Pour changer un mot de passe, utilisez changePswd.
Les types d'utilisateurs et les mots de passe sont sensibles à la casse, les noms d'utilisateurs, non.
Les utilisateurs de chiffrement (CU) et les utilisateurs d'appliance (AU) peuvent modifier uniquement leur propre mot de passe. Pour modifier le mot de passe d'un autre utilisateur, vous devez vous connecter en tant que CO. Vous ne pouvez pas modifier le mot de passe d'un utilisateur qui est actuellement connecté.
Pour modifier votre propre mot de passe
-
Utilisez l'outil de configuration pour mettre à jour la configuration du CMU.
-
Démarrer le CMU.
-
Connectez-vous au HSM.
aws-cloudhsm>
loginHSM CO admin co12345
Assurez-vous que le nombre de connexions répertoriées par le CMU correspond au nombre de HSM du cluster. Si ce n'est pas le cas, déconnectez-vous et recommencez.
-
Pour modifier votre propre mot de passe utilisez changePswd.
aws-cloudhsm>
changePswd CO example_officer
<new password>
Le CMU fournit une invite sur l’opération de modification du mot de passe.
*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
-
Tapez
y
.Le CMU fournit une invite sur l’opération de modification du mot de passe.
Changing password for example_officer(CO) on 3 nodes
Pour modifier le mot de passe d'un autre utilisateur
-
Utilisez l'outil de configuration pour mettre à jour la configuration du CMU.
-
Démarrer le CMU.
-
Connectez-vous au HSM en tant qu'utilisateur CO.
aws-cloudhsm>
loginHSM CO admin co12345
Assurez-vous que le nombre de connexions répertoriées par le CMU correspond au nombre de HSM du cluster. Si ce n'est pas le cas, déconnectez-vous et recommencez.
-
Utilisez changePswd pour modifier le mot de passe d'un autre utilisateur.
aws-cloudhsm>
changePswd CU example_user
<new password>
Le CMU fournit une invite sur l’opération de modification du mot de passe.
*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
-
Tapez
y
.Le CMU fournit une invite sur l’opération de modification du mot de passe.
Changing password for example_user(CU) on 3 nodes
Pour plus d'informations sur changePswd, veuillez consulter Modifier le mot de passe.
Utilisez deleteUser pour supprimer un utilisateur. Vous devez vous connecter en tant que CO pour supprimer un autre utilisateur.
Astuce
Vous ne pouvez pas supprimer les utilisateurs de chiffrement (CU) qui possèdent des clés.
Pour supprimer un utilisateur
-
Utilisez l'outil de configuration pour mettre à jour la configuration du CMU.
-
Démarrer le CMU.
-
Connectez-vous au HSM en tant qu'utilisateur CO.
aws-cloudhsm>
loginHSM CO admin co12345
Assurez-vous que le nombre de connexions répertoriées par le CMU correspond au nombre de HSM du cluster. Si ce n'est pas le cas, déconnectez-vous et recommencez.
-
Utilisez deleteUser pour supprimer un utilisateur.
aws-cloudhsm>
deleteUser CO example_officer
Le CMU supprime l'utilisateur.
Deleting user example_officer(CO) on 3 nodes deleteUser success on server 0(10.0.2.9) deleteUser success on server 1(10.0.3.11) deleteUser success on server 2(10.0.1.12)
Pour plus d'informations sur deleteUser, veuillez consulter Supprimer un utilisateur.