Type utilisateur Syntaxe Exemples Arguments Rubriques en relation

Création d'un AWS CloudHSM utilisateur avec CMU

Utilisez la createUser commande contenue dans cloudhsm-mgmt_util (CMU) pour créer un utilisateur sur les modules de sécurité matériels (HSM) du cluster. AWS CloudHSM Seuls les agents cryptographiques (COs et PRECOs) peuvent exécuter cette commande. Lorsque la commande aboutit, l'utilisateur est créé dans l'ensemble HSMs du cluster.

Si votre configuration HSM est inexacte, il est possible que l'utilisateur ne soit pas créé sur tous HSMs. Pour ajouter l'utilisateur à un utilisateur HSMs dans lequel il est absent, utilisez la commande SyncUser ou CreateUser uniquement HSMs sur l'utilisateur manquant. Pour éviter les erreurs de configuration, exécutez l'outil configure avec l’option -m.

Avant d'exécuter une commande de CMU, vous devez démarrer l’utilitaire CMU et vous connecter au HSM. Veillez à ce que le type d'utilisateur du compte que vous utilisez pour vous connecter puisse exécuter les commandes que vous prévoyez d'utiliser.

Si vous ajoutez ou supprimez HSMs, mettez à jour les fichiers de configuration de la CMU. Dans le cas contraire, les modifications que vous apportez risquent de ne pas être efficaces pour tous HSMs les membres du cluster.

Type utilisateur

Les types d'utilisateur suivants peuvent exécuter cette commande.

Responsables de chiffrement (CO, PRECO)

Syntaxe

Entrez les arguments dans l'ordre indiqué dans le diagramme de syntaxe. Utilisez le paramètre -hpswd pour masquer votre mot de passe. Pour créer un utilisateur CO avec une authentification à deux facteurs (2FA), utilisez le paramètre -2fa et incluez un chemin de fichier. Pour de plus amples informations, veuillez consulter Arguments.


createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]

Exemples

Ces exemples montrent comment createUser créer de nouveaux utilisateurs dans votre HSMs.

Exemple : Créer un responsable de chiffrement

Cet exemple crée un agent cryptographique (CO) sur le HSMs dans un cluster. La première commande utilise loginHSM pour vous connecter au HSM en tant que responsable de chiffrement.


aws-cloudhsm> loginHSM CO admin 735782961

loginHSM success on server 0(10.0.0.1)
loginHSM success on server 1(10.0.0.2)
loginHSM success on server 1(10.0.0.3)

La deuxième commande utilise la commande createUser pour créer alice, une nouvelle responsable de chiffrement dans le HSM.

Le message d'avertissement explique que la commande crée des utilisateurs sur tous les HSMs éléments du cluster. Mais, si la commande échoue sur l'un d'entre HSMs eux, l'utilisateur n'existera pas sur ceux-ci HSMs. Pour continuer, tapez y.

Le résultat indique que le nouvel utilisateur a été créé sur les trois HSMs sites du cluster.


aws-cloudhsm> createUser CO alice 391019314

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User alice(CO) on 3 nodes

Lorsque la commande est terminée, alice dispose des mêmes autorisations sur le HSM que l'utilisateur admin CO, y compris la modification du mot de passe de n'importe quel utilisateur du HSMs.

La dernière commande utilise la commande ListUsers pour vérifier qu'aliceelle existe sur les trois éléments du HSMs cluster. La sortie indique également que alice se voit affecter l'ID d'utilisateur 3.. Vous utilisez l'ID utilisateur pour vous identifier alice dans d'autres commandes, telles que findAllKeys.


aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
Users on server 1(10.0.0.2):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO

Users on server 1(10.0.0.3):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO

Exemple : Créer un utilisateur de chiffrement

Cet exemple crée un utilisateur de chiffrement (CU), bob, sur le HSM. Les utilisateurs de chiffrement peuvent créer et gérer des clés, mais ils ne peuvent pas gérer les utilisateurs.

Une fois que vous avez saisi y pour répondre au message d'avertissement, le résultat indique qu'bobil a été créé sur HSMs les trois éléments du cluster. Le nouvel utilisateur de chiffrement peut se connecter au HSM pour créer et gérer des clés.

La commande a utilisé la valeur de mot de passe defaultPassword. Ultérieurement, bob ou un responsable de chiffrement quelconque peut utiliser la commande changePswd pour modifier son mot de passe.


aws-cloudhsm> createUser CU bob defaultPassword

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User bob(CU) on 3 nodes

Arguments

Entrez les arguments dans l'ordre indiqué dans le diagramme de syntaxe. Utilisez le paramètre -hpswd pour masquer votre mot de passe. Pour créer un utilisateur CO avec 2FA activé, utilisez le paramètre -2fa et incluez un chemin de fichier. Pour plus d'informations sur l’authentification à deux facteurs, consultez Gérer l'authentification à deux facteurs des utilisateurs.


createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]

<type-utilisateur>

Spécifie le type d'utilisateur. Ce paramètre est obligatoire.

Pour plus d'informations sur les types d'utilisateur sur un HSM, consultez Types d'utilisateurs HSM pour l'utilitaire AWS CloudHSM de gestion.

Valeurs valides :

CO : les responsables de chiffrement peuvent gérer les utilisateurs, mais ne peuvent pas gérer les clés.
CU : les utilisateurs de chiffrement peuvent créer et gérer des clés, ainsi qu'utiliser ces clés dans des opérations de chiffrement.

L'utilisateur PRECO est converti en CO lorsque vous attribuez un mot de passe lors de l’activation des HSM.

Obligatoire : oui

<nom-utilisateur>

Spécifie un nom convivial pour l'utilisateur. La longueur maximale est de 31 caractères. Le seul caractère spécial autorisé est un trait de soulignement ( _ ).

Vous ne pouvez pas modifier le nom d'un utilisateur après l'avoir créé. Dans les commandes cloudhsm_mgmt_util, le type d'utilisateur et le mot de passe sont sensibles à la casse, mais le nom d'utilisateur ne l'est pas.

Obligatoire : oui

<password | ‐hpswd >

Spécifie un mot de passe pour l'utilisateur. Entrez une chaîne de 7 à 32 caractères. Cette valeur est sensible à la casse. Le mot de passe s'affiche en texte brut lorsque vous le tapez. Pour masquer votre mot de passe, utilisez le paramètre -hpswd à la place du mot de passe et suivez les instructions.

Pour changer un mot de passe d'utilisateur, utilisez changePswd. Tout utilisateur HSM peut modifier son propre mot de passe, mais les utilisateurs CO peuvent modifier le mot de passe de n'importe quel utilisateur (de n'importe quel type) sur le HSMs.

Obligatoire : oui

[-2fa path/to/authdata </ >]

Spécifie la création d'un utilisateur CO avec l’authentification à deux facteurs activée. Pour obtenir les données nécessaires à la configuration de l'authentification 2FA, incluez un chemin vers un emplacement dans le système de fichiers avec un nom de fichier après le paramètre -2fa. Pour plus d'informations sur la configuration et l'utilisation de l’authentification 2FA, consultez Gérer l'authentification à deux facteurs des utilisateurs.

Obligatoire : non

Rubriques en relation

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

changePswd

deleteUser