Créez un AWS CloudHSM utilisateur avec CMU - AWS CloudHSM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez un AWS CloudHSM utilisateur avec CMU

Utilisez la createUser commande contenue dans cloudhs_mgmt_util (CMU) pour créer un utilisateur sur les modules de sécurité matériels () du cluster. HSM AWS CloudHSM Seuls les agents cryptographiques (COsetPRECOs) peuvent exécuter cette commande. Lorsque la commande aboutit, l'utilisateur est créé dans l'ensemble HSMs du cluster.

Si votre HSM configuration est inexacte, il est possible que l'utilisateur ne soit pas créé sur tousHSMs. Pour ajouter l'utilisateur à un utilisateur HSMs dans lequel il est absent, utilisez la createUsercommande syncUserou uniquement sur l'utilisateur manquant. HSMs Pour éviter les erreurs de configuration, exécutez l'outil configure avec l’option -m.

Avant d'exécuter une CMU commande, vous devez démarrer CMU et vous connecter auHSM. Veillez à ce que le type d'utilisateur du compte que vous utilisez pour vous connecter puisse exécuter les commandes que vous prévoyez d'utiliser.

Si vous ajoutez ou supprimezHSMs, mettez à jour les fichiers de configuration pourCMU. Dans le cas contraire, les modifications que vous apportez risquent de ne pas être efficaces pour tous HSMs les membres du cluster.

Type utilisateur

Les types d'utilisateur suivants peuvent exécuter cette commande.

  • Crypto Officers (CO,PRECO)

Syntaxe

Entrez les arguments dans l'ordre indiqué dans le diagramme de syntaxe. Utilisez le paramètre -hpswd pour masquer votre mot de passe. Pour créer un utilisateur CO avec une authentification à deux facteurs (2FA), utilisez le paramètre -2fa et incluez un chemin de fichier. Pour de plus amples informations, veuillez consulter Arguments.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]

Exemples

Ces exemples montrent comment createUser créer de nouveaux utilisateurs dans votreHSMs.

Exemple : Créer un responsable de chiffrement

Cet exemple crée un agent cryptographique (CO) HSMs dans un cluster. La première commande utilise login HSM pour se connecter au en HSM tant que responsable des cryptomonnaies.

aws-cloudhsm> loginHSM CO admin 735782961 loginHSM success on server 0(10.0.0.1) loginHSM success on server 1(10.0.0.2) loginHSM success on server 1(10.0.0.3)

La deuxième commande utilise la createUser commande pour créer alice un nouveau responsable des cryptomonnaies sur leHSM.

Le message d'avertissement explique que la commande crée des utilisateurs sur tous les HSMs éléments du cluster. Mais, si la commande échoue sur l'un d'entre HSMs eux, l'utilisateur n'existera pas sur ceux-ciHSMs. Pour continuer, tapez y.

Le résultat indique que le nouvel utilisateur a été créé sur les trois HSMs sites du cluster.

aws-cloudhsm> createUser CO alice 391019314 *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User alice(CO) on 3 nodes

Lorsque la commande est terminée, alice dispose des mêmes autorisations HSM que l'utilisateur admin CO, y compris la modification du mot de passe de n'importe quel utilisateur duHSMs.

La dernière commande utilise la listUserscommande pour vérifier qu'aliceelle existe sur les trois HSMs éléments du cluster. La sortie indique également que alice se voit affecter l'ID d'utilisateur 3.. Vous utilisez l'ID utilisateur pour vous identifier alice dans d'autres commandes, telles que findAllKeys.

aws-cloudhsm> listUsers Users on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.2): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.3): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO
Exemple : Créer un utilisateur de chiffrement

Cet exemple crée un utilisateur cryptographique (CU)bob, sur leHSM. Les utilisateurs de chiffrement peuvent créer et gérer des clés, mais ils ne peuvent pas gérer les utilisateurs.

Une fois que vous avez saisi y pour répondre au message d'avertissement, le résultat indique qu'bobil a été créé sur HSMs les trois éléments du cluster. Le nouveau CU peut se connecter au pour HSM créer et gérer des clés.

La commande a utilisé la valeur de mot de passe defaultPassword. Plus tard, bob n'importe quel commandant pourra utiliser la changePswdcommande pour changer son mot de passe.

aws-cloudhsm> createUser CU bob defaultPassword *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User bob(CU) on 3 nodes

Arguments

Entrez les arguments dans l'ordre indiqué dans le diagramme de syntaxe. Utilisez le paramètre -hpswd pour masquer votre mot de passe. Pour créer un utilisateur CO avec 2FA activé, utilisez le paramètre -2fa et incluez un chemin de fichier. Pour plus d'informations sur l’authentification à deux facteurs, consultez Gérer l'authentification à deux facteurs des utilisateurs.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]
<type-utilisateur>

Spécifie le type d'utilisateur. Ce paramètre est obligatoire.

Pour des informations détaillées sur les types d'utilisateurs sur unHSM, consultezHSMtypes d'utilisateurs pour AWS CloudHSM Management Utility.

Valeurs valides :

  • CO : les responsables de chiffrement peuvent gérer les utilisateurs, mais ne peuvent pas gérer les clés.

  • CU : les utilisateurs de chiffrement peuvent créer et gérer des clés, ainsi qu'utiliser ces clés dans des opérations de chiffrement.

Le PRECO est converti en CO lorsque vous attribuez un mot de passe lors de HSMl'activation.

Obligatoire : oui

<nom-utilisateur>

Spécifie un nom convivial pour l'utilisateur. La longueur maximale est de 31 caractères. Le seul caractère spécial autorisé est un trait de soulignement ( _ ).

Vous ne pouvez pas modifier le nom d'un utilisateur après l'avoir créé. Dans les commandes cloudhsm_mgmt_util, le type d'utilisateur et le mot de passe sont sensibles à la casse, mais le nom d'utilisateur ne l'est pas.

Obligatoire : oui

<password | -hpswd >

Spécifie un mot de passe pour l'utilisateur. Entrez une chaîne de 7 à 32 caractères. Cette valeur est sensible à la casse. Le mot de passe s'affiche en texte brut lorsque vous le tapez. Pour masquer votre mot de passe, utilisez le paramètre -hpswd à la place du mot de passe et suivez les instructions.

Pour modifier le mot de passe d'un utilisateur, utilisez changePswd. Tout HSM utilisateur peut modifier son propre mot de passe, mais les utilisateurs de CO peuvent modifier le mot de passe de n'importe quel utilisateur (de n'importe quel type) sur leHSMs.

Obligatoire : oui

[-2fa path/to/authdata </ >]

Spécifie la création d'un utilisateur CO avec l’authentification à deux facteurs activée. Pour obtenir les données nécessaires à la configuration de l'authentification 2FA, incluez un chemin vers un emplacement dans le système de fichiers avec un nom de fichier après le paramètre -2fa. Pour plus d'informations sur la configuration et l'utilisation de l’authentification 2FA, consultez Gérer l'authentification à deux facteurs des utilisateurs.

Obligatoire : non

Rubriques en relation