createUser - AWS CloudHSM
Jenis penggunaSintaksContohPendapatTopik terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

createUser

Perintah createUser di cloudhsm_mgmt_util membuat pengguna di HSM. Hanya petugas crypto (CO dan PreCOS) yang dapat menjalankan perintah ini. Ketika perintah berhasil, pengguna dibuat di semua HSM di klaster.

Jika konfigurasi HSM Anda tidak akurat, pengguna mungkin tidak dibuat pada semua HSM. Untuk menambahkan pengguna ke setiap HSM tempatnya hilang, gunakan perintah syncUser atau createUser hanya pada HSM yang kehilangan pengguna tersebut. Untuk mencegah kesalahan konfigurasi, jalankan alat konfigurasi dengan alat pilihan -m.

Sebelum Anda menjalankan perintah CMU, Anda harus memulai CMU dan masuk ke HSM. Pastikan Anda masuk dengan tipe pengguna yang dapat menjalankan perintah yang ingin Anda gunakan.

Jika Anda menambahkan atau menghapus HSM, perbarui file konfigurasi untuk CMU. Jika tidak, perubahan yang Anda buat mungkin tidak efektif untuk semua HSM di klaster.

Jenis pengguna

Jenis pengguna berikut dapat menjalankan perintah ini.

  • Petugas Crypto (CO, PRECO)

Sintaks

Masukkan argumen dalam urutan yang ditentukan dalam diagram sintaks. Gunakan parameter -hpswd untuk menutupi kata sandi Anda. Untuk membuat pengguna CO dengan autentikasi dua faktor (2FA), gunakan parameter -2fa dan termasuk jalur file. Untuk informasi selengkapnya, lihat Pendapat.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]

Contoh

Contoh ini menunjukkan cara menggunakan createUser untuk membuat pengguna baru di HSM Anda.

contoh : Buat petugas crypto

Contoh ini membuat seorang perwira kripto (CO) pada HSM dalam sebuah klaster. Perintah pertama menggunakan loginHSM untuk masuk ke HSM sebagai pegawai kripto.

aws-cloudhsm> loginHSM CO admin 735782961

loginHSM success on server 0(10.0.0.1)
loginHSM success on server 1(10.0.0.2)
loginHSM success on server 1(10.0.0.3)

Perintah kedua menggunakan perintah createUser untuk membuat alice, seorang perwira kripto baru di HSM.

Pesan peringatan menjelaskan bahwa perintah membuat pengguna pada semua HSM di klaster. Tapi, jika perintah gagal pada HSM mana pun, pengguna tidak akan ada pada HSM tersebut. Untuk melanjutkan, ketik y.

Output menunjukkan bahwa pengguna baru dibuat pada ketiga HSM di klaster.

aws-cloudhsm> createUser CO alice 391019314

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User alice(CO) on 3 nodes

Saat perintah selesai, alice memiliki izin yang sama pada HSM sebagai pengguna CO admin, termasuk mengubah kata sandi dari setiap pengguna di HSM.

Perintah terakhir menggunakan perintah listUsers untuk memverifikasi bahwa alice ada ketiga HSM di klaster. Output juga menunjukkan bahwa alice ditetapkan ID pengguna 3.. Anda menggunakan ID pengguna untuk mengidentifikasi alice perintah lain, seperti findAllKeys.

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
Users on server 1(10.0.0.2):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO

Users on server 1(10.0.0.3):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
contoh : Buat pengguna kripto

Contoh ini membuat pengguna kripto (CU), bob, pada HSM. Pengguna kripto dapat membuat dan mengelola kunci, tetapi mereka tidak dapat mengelola pengguna.

Setelah Anda mengetik y untuk menanggapi pesan hati-hati, output menunjukkan bahwa bob dibuat pada ketiga HSM di klaster. CU baru dapat login ke HSM untuk membuat dan mengelola kunci.

Perintah menggunakan nilai kata sandi defaultPassword. Nanti, bob atau CO apa pun dapat menggunakan perintah changePswd untuk mengubah kata sandinya.

aws-cloudhsm> createUser CU bob defaultPassword

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User bob(CU) on 3 nodes

Pendapat

Masukkan argumen dalam urutan yang ditentukan dalam diagram sintaks. Gunakan parameter -hpswd untuk menutupi kata sandi Anda. Untuk membuat pengguna CO dengan 2FA diaktifkan, gunakan parameter -2fa dan termasuk jalur file. Untuk informasi lebih lanjut tentang 2FA, lihat Menggunakan CMU untuk mengelola 2FA.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]
<user-type>

Menentukan jenis pengguna. Parameter ini diperlukan.

Untuk informasi detail tentang jenis pengguna pada HSM, lihat Memahami pengguna HSM.

Nilai yang valid:

  • CO: Petugas kripto dapat mengelola pengguna, tetapi mereka tidak dapat mengelola kunci.

  • CU: Pengguna kripto dapat membuat mengelola kunci dan menggunakan kunci dalam operasi kriptografi.

PRECO dikonversi ke CO ketika Anda menetapkan kata sandi selama aktivasi HSM.

Wajib: Ya

<user name>

Menentukan nama yang mudah diingat untuk pengguna. Panjang maksimum adalah 31 karakter. Satu-satunya karakter khusus yang diizinkan adalah garis bawah (_).

Anda tidak dapat mengubah nama pengguna setelah dibuat. Dalam perintah cloudhsm_mgmt_util, jenis pengguna dan kata sandi peka huruf besar-kecil, tetapi nama pengguna tidak.

Wajib: Ya

<password | -hpswd >

Menentukan kata sandi untuk pengguna. Masukkan string 7 sampai 32 karakter. Nilai ini peka huruf besar kecil. Kata sandi muncul di plaintext saat Anda mengetikkannya. Untuk menyembunyikan kata sandi, gunakan parameter -hpswd di tempat kata sandi dan ikuti petunjuknya.

Untuk mengubah kata sandi pengguna, gunakan changePswd. Setiap pengguna HSM dapat mengubah kata sandi mereka sendiri, tetapi pengguna CO dapat mengubah kata sandi pengguna mana pun (dari jenis apa pun) pada HSM.

Wajib: Ya

[-2fa </path/to/authdata>]

Menentukan pembuatan pengguna CO dengan 2FA diaktifkan. Untuk mendapatkan data yang diperlukan untuk menyiapkan autentikasi 2FA, termasuk jalur ke lokasi dalam sistem file dengan nama file setelah parameter -2fa. Untuk informasi lebih lanjut tentang menyiapkan dan bekerja dengan 2FA, lihat Menggunakan CMU untuk mengelola 2FA.

Wajib: Tidak

Topik terkait