Buat AWS CloudHSM pengguna dengan CMU - AWS CloudHSM
Jenis penggunaSintaksContohPendapatTopik terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat AWS CloudHSM pengguna dengan CMU

Gunakan createUser perintah di cloudhsm_mgmt_util (CMU) untuk membuat pengguna pada modul keamanan perangkat keras () di cluster. HSM AWS CloudHSM Hanya petugas crypto (COsdanPRECOs) yang dapat menjalankan perintah ini. Ketika perintah berhasil, itu menciptakan pengguna di semua HSMs dalam cluster.

Jika HSM konfigurasi Anda tidak akurat, pengguna mungkin tidak dibuat sama sekaliHSMs. Untuk menambahkan pengguna ke salah satu HSMs yang hilang, gunakan createUserperintah syncUseror hanya pada HSMs yang hilang pengguna itu. Untuk mencegah kesalahan konfigurasi, jalankan alat konfigurasi dengan alat pilihan -m.

Sebelum Anda menjalankan CMU perintah apa pun, Anda harus memulai CMU dan masuk ke fileHSM. Pastikan Anda masuk dengan tipe pengguna yang dapat menjalankan perintah yang Anda rencanakan untuk digunakan.

Jika Anda menambah atau menghapusHSMs, perbarui file konfigurasi untukCMU. Jika tidak, perubahan yang Anda buat mungkin tidak efektif untuk semua HSMs di cluster.

Jenis pengguna

Jenis pengguna berikut dapat menjalankan perintah ini.

  • Petugas Crypto (CO,PRECO)

Sintaks

Masukkan argumen dalam urutan yang ditentukan dalam diagram sintaks. Gunakan parameter -hpswd untuk menutupi kata sandi Anda. Untuk membuat pengguna CO dengan autentikasi dua faktor (2FA), gunakan parameter -2fa dan termasuk jalur file. Untuk informasi selengkapnya, lihat Pendapat.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]

Contoh

Contoh-contoh ini menunjukkan cara menggunakan createUser untuk membuat pengguna baru di AndaHSMs.

contoh : Buat petugas crypto

Contoh ini membuat crypto officer (CO) di HSMs dalam cluster. Perintah pertama menggunakan login HSM untuk masuk ke HSM sebagai petugas crypto.

aws-cloudhsm> loginHSM CO admin 735782961

loginHSM success on server 0(10.0.0.1)
loginHSM success on server 1(10.0.0.2)
loginHSM success on server 1(10.0.0.3)

Perintah kedua menggunakan createUser perintah untuk membuatalice, petugas crypto baru diHSM.

Pesan peringatan menjelaskan bahwa perintah membuat pengguna pada semua yang ada HSMs di cluster. Tetapi, jika perintah gagal pada salah satuHSMs, pengguna tidak akan ada pada ituHSMs. Untuk melanjutkan, ketik y.

Output menunjukkan bahwa pengguna baru dibuat pada ketiganya HSMs di cluster.

aws-cloudhsm> createUser CO alice 391019314

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User alice(CO) on 3 nodes

Ketika perintah selesai, alice memiliki izin yang sama pada HSM sebagai pengguna admin CO, termasuk mengubah kata sandi setiap pengguna di file. HSMs

Perintah terakhir menggunakan listUsersperintah untuk memverifikasi yang alice ada pada ketiganya HSMs di cluster. Output juga menunjukkan bahwa alice ditetapkan ID pengguna 3.. Anda menggunakan ID pengguna untuk mengidentifikasi alice perintah lain, seperti findAllKeys.

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
Users on server 1(10.0.0.2):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO

Users on server 1(10.0.0.3):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
contoh : Buat pengguna kripto

Contoh ini membuat pengguna kripto (CU),bob, di fileHSM. Pengguna kripto dapat membuat dan mengelola kunci, tetapi mereka tidak dapat mengelola pengguna.

Setelah Anda mengetik y untuk menanggapi pesan peringatan, output menunjukkan bahwa bob itu dibuat pada ketiganya HSMs di cluster. CU baru dapat masuk ke HSM untuk membuat dan mengelola kunci.

Perintah menggunakan nilai kata sandi defaultPassword. Nanti, bob atau CO apa pun dapat menggunakan changePswdperintah untuk mengubah kata sandinya.

aws-cloudhsm> createUser CU bob defaultPassword

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User bob(CU) on 3 nodes

Pendapat

Masukkan argumen dalam urutan yang ditentukan dalam diagram sintaks. Gunakan parameter -hpswd untuk menutupi kata sandi Anda. Untuk membuat pengguna CO dengan 2FA diaktifkan, gunakan parameter -2fa dan termasuk jalur file. Untuk informasi lebih lanjut tentang 2FA, lihat Kelola pengguna 2FA.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]
<user-type>

Menentukan jenis pengguna. Parameter ini diperlukan.

Untuk informasi rinci tentang jenis pengguna di sebuahHSM, lihatHSMtipe pengguna untuk Utilitas AWS CloudHSM Manajemen.

Nilai valid:

  • CO: Petugas kripto dapat mengelola pengguna, tetapi mereka tidak dapat mengelola kunci.

  • CU: Pengguna kripto dapat membuat mengelola kunci dan menggunakan kunci dalam operasi kriptografi.

PRECOIni dikonversi ke CO saat Anda menetapkan kata sandi selama HSMaktivasi.

Wajib: Ya

<user name>

Menentukan nama yang mudah diingat untuk pengguna. Panjang maksimum adalah 31 karakter. Satu-satunya karakter khusus yang diizinkan adalah garis bawah (_).

Anda tidak dapat mengubah nama pengguna setelah dibuat. Dalam perintah cloudhsm_mgmt_util, jenis pengguna dan kata sandi peka huruf besar-kecil, tetapi nama pengguna tidak.

Wajib: Ya

<password | -hpswd >

Menentukan kata sandi untuk pengguna. Masukkan string 7 sampai 32 karakter. Nilai ini peka huruf besar kecil. Kata sandi muncul di plaintext saat Anda mengetikkannya. Untuk menyembunyikan kata sandi, gunakan parameter -hpswd di tempat kata sandi dan ikuti petunjuknya.

Untuk mengubah kata sandi pengguna, gunakan changePswd. Setiap HSM pengguna dapat mengubah kata sandi mereka sendiri, tetapi pengguna CO dapat mengubah kata sandi pengguna mana pun (dari jenis apa pun) diHSMs.

Wajib: Ya

[-2fa path/to/authdata </ >]

Menentukan pembuatan pengguna CO dengan 2FA diaktifkan. Untuk mendapatkan data yang diperlukan untuk menyiapkan autentikasi 2FA, termasuk jalur ke lokasi dalam sistem file dengan nama file setelah parameter -2fa. Untuk informasi lebih lanjut tentang menyiapkan dan bekerja dengan 2FA, lihat Kelola pengguna 2FA.

Wajib: Tidak

Topik terkait