Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurer l'authentification par quorum pour les AWS CloudHSM administrateurs à l'aide du Cloud HSM CLI
Les rubriques suivantes décrivent les étapes à suivre pour configurer votre module de sécurité matériel (HSM) afin que les AWS CloudHSM administrateurs puissent utiliser l'authentification par quorum. Vous devez suivre ces étapes une seule fois lorsque vous configurez l'authentification par quorum pour les administrateurs. Une fois que vous avez terminé ces étapes, consultez Gestion des utilisateurs avec authentification par quorum activée pour AWS CloudHSM l'utilisation du Cloud HSM CLI.
Rubriques
Prérequis
Pour comprendre cet exemple, vous devez être familiarisé avec Cloud HSM CLI. Dans cet exemple, le AWS CloudHSM cluster en compte deuxHSMs, chacun ayant les mêmes administrateurs, comme indiqué dans le résultat suivant de la user list commande. Pour plus d'informations sur la création d'utilisateurs, consultez Gestion des utilisateurs avec le Cloud HSM CLI.
aws-cloudhsm>
user list
{
"error_code": 0,
"data": {
"users": [
{
"username": "admin",
"role": "admin",
"locked": "false",
"mfa": [],
"quorum": [],
"cluster-coverage": "full"
},
{
"username": "admin2",
"role": "admin",
"locked": "false",
"mfa": [],
"quorum": [],
"cluster-coverage": "full"
},
{
"username": "admin3",
"role": "admin",
"locked": "false",
"mfa": [],
"quorum": [],
"cluster-coverage": "full"
},
{
"username": "admin4",
"role": "admin",
"locked": "false",
"mfa": [],
"quorum": [],
"cluster-coverage": "full"
},
{
"username": "app_user",
"role": "internal(APPLIANCE_USER)",
"locked": "false",
"mfa": [],
"quorum": [],
"cluster-coverage": "full"
}
]
}
}
Étape 1. Création et enregistrement d'une clé pour la signature
Pour utiliser l'authentification par quorum, chaque administrateur doit effectuer toutes les étapes suivantes :
Rubriques
Création d'une paire de RSA clés
Il existe de nombreuses manières différentes de créer et de protéger une paire de clés. Les exemples suivants montrent comment procéder avec Open SSL
Exemple — Crée une clé privée avec Open SSL
L'exemple suivant montre comment utiliser Open SSL pour créer une RSA clé de 2 048 bits protégée par une phrase secrète. Pour utiliser cet exemple, remplacez <admin.key>
avec le nom du fichier dans lequel vous souhaitez stocker la clé.
$
openssl genrsa -out
<admin.key>
-aes256 2048Generating RSA private key, 2048 bit long modulus .....................................+++ .+++ e is 65537 (0x10001) Enter pass phrase for admin.key: Verifying - Enter pass phrase for admin.key:
Générez ensuite la clé publique à l'aide de la clé privée que vous venez de créer.
Exemple — Créez une clé publique avec Open SSL
L'exemple suivant montre comment utiliser Open pour créer une clé publique SSL à partir de la clé privée que vous venez de créer.
$
openssl rsa -in admin.key -outform PEM -pubout -out admin1.pub
Enter pass phrase for admin.key: writing RSA key
Créez et signez un jeton d'enregistrement
Vous créez un jeton et vous le signez avec la clé privée que vous venez de générer à l'étape précédente.
Exemple — Créez un jeton d'enregistrement
-
Utilisez la commande suivante pour démarrer le Cloud HSM CLI :
-
Créez un jeton d'enregistrement en exécutant la commande quorum token-sign generate :
aws-cloudhsm >
quorum token-sign generate --service registration --token /path/tokenfile
{ "error_code": 0, "data": { "path": "/path/tokenfile" } }
-
La commande quorum token-sign generate génère un jeton d'enregistrement sur le chemin de fichier spécifié. Inspectez le fichier du jeton :
$
cat /path/tokenfile
{ "version": "2.0", "tokens": [ { "approval_data":
<approval data in base64 encoding>
, "unsigned":<unsigned token in base64 encoding>
, "signed": "" } ] }Le chemin d'accès au fichier se compose des éléments suivants :
approval_data : jeton de données aléatoire codé en base64 dont les données brutes ne dépassent pas le maximum de 245 octets.
unsigned : jeton codé et SHA256 haché en base64 du fichier approval_data.
signé : jeton signé codé en base64 (signature) du jeton non signé, en utilisant la clé privée de RSA 2048 bits précédemment générée avec Open. SSL
Vous signez le jeton non signé avec la clé privée pour démontrer que vous avez accès à la clé privée. Vous aurez besoin du fichier de jeton d'enregistrement entièrement rempli d'une signature et de la clé publique pour enregistrer l'administrateur en tant qu'utilisateur du quorum auprès du AWS CloudHSM cluster.
Exemple — Signez le jeton d'enregistrement non signé
Décodez le jeton non signé codé en base64 et placez-le dans un fichier binaire :
$
echo -n '6BMUj6mUjjko6ZLCEdzGlWpR5sILhFJfqhW1ej3Oq1g=' | base64 -d > admin.bin
Utilisez Open SSL et la clé privée pour signer le jeton d'enregistrement non signé désormais binaire et créer un fichier de signature binaire :
$
openssl pkeyutl -sign \ -inkey admin.key \ -pkeyopt digest:sha256 \ -keyform PEM \ -in admin.bin \ -out admin.sig.bin
-
Encodez la signature binaire en base64 :
$
base64 -w0 admin.sig.bin > admin.sig.b64
-
Copiez et collez la signature codée en base64 dans le fichier de jeton :
{ "version": "2.0", "tokens": [ { "approval_data":
<approval data in base64 encoding>
, "unsigned":<unsigned token in base64 encoding>
, "signed":<signed token in base64 encoding>
} ] }
Enregistrez la clé publique auprès du HSM
Après avoir créé une clé, l'administrateur doit enregistrer la clé publique auprès du AWS CloudHSM cluster.
Pour enregistrer une clé publique auprès du HSM
-
Utilisez la commande suivante pour démarrer Cloud HSM CLI :
-
À l'aide de Cloud HSMCLI, connectez-vous en tant qu'administrateur.
aws-cloudhsm >
login --username admin --role admin
Enter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } } -
Utilisez la commande Enregistrez la stratégie de quorum par signature symbolique d'un utilisateur à l'aide du Cloud HSM CLI pour enregistrer la clé publique. Pour plus d'informations, consultez l'exemple suivant ou utilisez la commande help user change-quorum token-sign register.
Exemple — Enregistrez une clé publique auprès AWS CloudHSM du cluster
L'exemple suivant montre comment utiliser la user change-quorum token-sign register commande dans Cloud HSM CLI pour enregistrer une clé publique d'administrateur avec le. HSM Pour utiliser cette commande, l'administrateur doit être connecté auHSM. Remplacez les valeurs suivantes par les vôtres :
aws-cloudhsm >
user change-quorum token-sign register --public-key
</path/admin.pub>
--signed-token</path/tokenfile>
{ "error_code": 0, "data": { "username": "admin", "role": "admin" } }
Note
/path/admin.pub : chemin d'accès au fichier de clé publique PEM
Obligatoire : oui
/path/tokenfile : le chemin du fichier avec le jeton signé par la clé privée de l'utilisateur
Obligatoire : oui
Une fois que tous les administrateurs ont enregistré leurs clés publiques, le résultat de la commande user list l'indique dans le champ de quorum, indiquant la stratégie de quorum activée utilisée, comme indiqué ci-dessous :
aws-cloudhsm >
user list
{ "error_code": 0, "data": { "users": [ { "username": "admin", "role": "admin", "locked": "false", "mfa": [], "quorum": [ { "strategy": "token-sign", "status": "enabled" } ], "cluster-coverage": "full" }, { "username": "admin2", "role": "admin", "locked": "false", "mfa": [], "quorum": [ { "strategy": "token-sign", "status": "enabled" } ], "cluster-coverage": "full" }, { "username": "admin3", "role": "admin", "locked": "false", "mfa": [], "quorum": [ { "strategy": "token-sign", "status": "enabled" } ], "cluster-coverage": "full" }, { "username": "admin4", "role": "admin", "locked": "false", "mfa": [], "quorum": [ { "strategy": "token-sign", "status": "enabled" } ], "cluster-coverage": "full" }, { "username": "app_user", "role": "internal(APPLIANCE_USER)", "locked": "false", "mfa": [], "quorum": [], "cluster-coverage": "full" } ] } }
Étape 2. Définissez la valeur minimale du quorum sur HSM
Pour utiliser l'authentification par quorum, un administrateur doit se connecter au, HSM puis définir la valeur minimale du quorum. Il s'agit du nombre minimum d'approbations d'administrateur requises pour effectuer des opérations de gestion des HSM utilisateurs. Tous les administrateurs HSM peuvent définir la valeur minimale du quorum, y compris les administrateurs qui n'ont pas enregistré de clé de signature. Vous pouvez modifier la valeur minimale de quorum à tout moment ; pour plus d'informations, veuillez consulter Modifier la valeur minimale..
Pour définir la valeur minimale du quorum sur HSM
-
Utilisez la commande suivante pour démarrer Cloud HSM CLI :
-
À l'aide de Cloud HSMCLI, connectez-vous en tant qu'administrateur.
aws-cloudhsm >
login --username admin --role admin
Enter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } } -
Utilisez la commande Mettre à jour une valeur de quorum à l'aide du Cloud HSM CLI pour définir la valeur minimale de quorum. Pour plus d'informations, consultez l'exemple suivant ou utilisez la commande help quorum token-sign set-quorum-value.
Exemple — Fixe la valeur minimale du quorum sur HSM
Cet exemple utilise une valeur minimale de quorum de deux (2). Vous pouvez choisir une valeur comprise entre deux (2) et huit (8), jusqu'au nombre total d'administrateurs duHSM. Dans cet exemple, il HSM a quatre (4) administrateurs, donc la valeur maximale possible est de quatre (4).
Pour utiliser l'exemple de commande suivant, remplacez le dernier numéro (<2>
) avec la valeur minimale de quorum préférée.
aws-cloudhsm >
quorum token-sign set-quorum-value --service user --value
<2>
{ "error_code": 0, "data": "Set quorum value successful" }
Dans cet exemple, le service identifie le HSM service dont vous définissez la valeur minimale de quorum. La Afficher les valeurs de quorum à l'aide du cloud HSM CLI commande répertorie les types de HSM services, les noms et les descriptions inclus dans le service.
Services d'administration : l'authentification par quorum est utilisée pour les services dotés de privilèges d'administrateur tels que la création d'utilisateurs, la suppression d'utilisateurs, la modification des mots de passe des utilisateurs, la définition des valeurs de quorum et la désactivation du quorum et MFA des fonctionnalités.
Chaque type de service est ensuite décomposé en un nom de service éligible, qui contient un ensemble spécifique d'opérations de service prises en charge par le quorum qui peuvent être effectuées.
Nom du service | Type de service | Opérations de service |
---|---|---|
utilisateur | Administrateur |
|
quorum | Administrateur |
|
grappe 1 | Administrateur |
|
[1] Le service Cluster est exclusivement disponible sur hsm2m.medium
Utilisez la commande quorum token-sign list-quorum-values pour obtenir la valeur minimale du quorum pour un service.
aws-cloudhsm >
quorum token-sign list-quorum-values
{ "error_code": 0, "data": { "user": 2, "quorum": 1 } }
Le résultat de la quorum token-sign list-quorum-values commande précédente indique que la valeur minimale du quorum pour le service HSM utilisateur, responsable des opérations de gestion des utilisateurs, est désormais de deux (2). Une fois que vous avez terminé ces étapes, consultez Gestion des utilisateurs avec quorum (M sur N).