Informazioni sulla gestione degli utenti Download della CloudHSM Management Utility Come gestire gli utenti

Uso della CloudHSM Management Utility (CMU) per gestire gli utenti

Questo argomento fornisce step-by-step istruzioni sulla gestione degli utenti dei moduli di sicurezza hardware (HSM) con CloudHSM Management Utility (CMU), uno strumento a riga di comando fornito con Client SDK. Per ulteriori informazioni su CMU e utenti HSM, consulta Utility di gestione CloudHSM e Informazioni sugli utenti HSM.

Sections

Informazioni sulla gestione degli utenti
Download della CloudHSM Management Utility
Come gestire gli utenti

Informazioni sulla gestione degli utenti HSM con la CMU

Per gestire gli utenti HSM, devi accedere all'HSM con il nome utente e la password di un crypto officer (CO). Solo i CO sono in grado di gestire gli utenti. L'HSM contiene un CO predefinito denominato admin. Hai impostato la password per admin quando hai attivato il cluster.

Per utilizzare la CMU, è necessario utilizzare lo strumento di configurazione per aggiornare la configurazione locale. La CMU crea la propria connessione al cluster e tale connessione non riconosce il cluster. Per tenere traccia delle informazioni sul cluster, la CMU mantiene un file di configurazione locale. Questo significa che ogni volta che usi la CMU, devi innanzitutto aggiornare il file di configurazione eseguendo lo strumento da riga di comando configure con il parametro --cmu. Se usi il Client SDK 3.2.1 o versioni precedenti, devi adoperare un parametro diverso da --cmu. Per ulteriori informazioni, consulta Uso della CMU con i Client SDK 3.2.1 e versioni precedenti.

Il parametro --cmu richiede l'aggiunta dell'indirizzo IP di un HSM nel cluster. Se hai più HSM, puoi utilizzare qualsiasi indirizzo IP. Questo garantisce che la CMU possa propagare le modifiche apportate all'intero cluster. Ricorda che la CMU utilizza il suo file locale per tenere traccia delle informazioni sul cluster. Se il cluster è cambiato dall'ultima volta che hai usato la CMU da un determinato host, devi aggiungere tali modifiche al file di configurazione locale memorizzato su quell'host. Non aggiungere o rimuovere mai un HSM mentre usi CMU.

Per ottenere un indirizzo IP per un HSM (console)

Apri la console dell'AWS CloudHSM all'indirizzo https://console.aws.amazon.com/cloudhsm/home.
Per modificare la regione AWS, utilizza l'apposito selettore nell’angolo in alto a destra della pagina.
Per aprire la pagina dei dettagli del cluster, nella tabella dei cluster, scegli l'ID del cluster.
Per ottenere l'indirizzo IP, nella scheda HSM, scegli uno degli indirizzi IP elencati in Indirizzo IP ENI.

Per ottenere un indirizzo IP per un HSM () AWS CLI

Ottieni l'indirizzo IP di un HSM utilizzando il comando describe-clusters da AWS CLI. Nell'output del comando, l'indirizzo IP degli HSM sono i valori di EniIp.


$  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...

Uso della CMU con i Client SDK 3.2.1 e versioni precedenti

Con il Client SDK 3.3.0, AWS CloudHSM ha aggiunto il supporto per il parametro --cmu, che semplifica il processo di aggiornamento del file di configurazione per la CMU. Se utilizzi una versione della CMU del Client SDK 3.2.1 o precedente, devi continuare a utilizzare i parametri -a and -m per aggiornare il file di configurazione. Per ulteriori informazioni sui parametri di configurazione, consulta Strumento Configure.

Download della CloudHSM Management Utility

L'ultima versione della CMU è disponibile per le attività di gestione degli utenti HSM indipendentemente dal fatto che si utilizzi il Client SDK 5 e il Client SDK 3.

Per scaricare e installare la CMU

Scarica e installa la CMU.

Amazon Linux


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL6/cloudhsm-mgmt-util-latest.el6.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el6.x86_64.rpm

Amazon Linux 2


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm

CentOS 7.8+


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm

CentOS 8.3+


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm

RHEL 7.9+


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm

RHEL 8.3+


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm

Ubuntu 16.04 LTS


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Xenial/cloudhsm-mgmt-util_latest_amd64.deb


$ sudo apt install ./cloudhsm-mgmt-util_latest_amd64.deb

Ubuntu 18.04 LTS


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Bionic/cloudhsm-mgmt-util_latest_u18.04_amd64.deb


$ sudo apt install ./cloudhsm-mgmt-util_latest_u18.04_amd64.deb

Windows Server 2012

Scarica la CloudHSM Management Utility.
Eseguite il programma di installazione CMU (AWSCloudHSMManagementUtil-latest.msi) con privilegi amministrativi di Windows.

Windows Server 2012 R2

Scarica la CloudHSM Management Utility.
Esegui il programma di installazione CMU (AWSCloudHSMManagementUtil-latest.msi) con privilegi amministrativi di Windows.

Windows Server 2016

Scarica la CloudHSM Management Utility.
Esegui il programma di installazione CMU (AWSCloudHSMManagementUtil-latest.msi) con privilegi amministrativi di Windows.

Come gestire gli utenti HSM con la CMU

Questa sezione include i comandi di base per gestire gli utenti HSM con la CMU.

Usa createUser per creare nuovi utenti sull'HSM. Devi accedere come CO per creare un utente.

Per creare un nuovo utente CO

Usa lo strumento di configurazione per aggiornare la configurazione della CMU.

Avvia la CMU.

Accedi all’HSM come utente CO.
```
aws-cloudhsm>loginHSM CO admin co12345
```
Assicurati che il numero di connessioni negli elenchi CMU corrisponda al numero di HSM nel cluster. In caso contrario, disconnettiti e ricomincia da capo.

Usa createUser per creare un utente CO denominato example_officer con una password di password1.


aws-cloudhsm>createUser CO example_officer password1

La CMU richiede informazioni sull'operazione di creazione utente.



*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

Tipo y.

Per creare un nuovo utente CU

Usa lo strumento di configurazione per aggiornare la configurazione della CMU.

Avvia la CMU.

Accedi all’HSM come utente CO.
```
aws-cloudhsm>loginHSM CO admin co12345
```
Assicurati che il numero di connessioni negli elenchi CMU corrisponda al numero di HSM nel cluster. In caso contrario, disconnettiti e ricomincia da capo.

Usa createUser per creare un utente CU denominato example_user con una password di password1.


aws-cloudhsm>createUser CU example_user password1

La CMU richiede informazioni sull'operazione di creazione utente.



*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

Tipo y.

Per ulteriori informazioni su createUser, consulta createUser.

Usa il comando listUsers per elencare tutti gli utenti del cluster. Non è necessario accedere per eseguire listUsers; tutti i tipi di utenti possono elencare utenti.

Per elencare tutti gli utenti del cluster

Usa lo strumento di configurazione per aggiornare la configurazione della CMU.

Avvia la CMU.

Usa listUsers per elencare tutti gli utenti del cluster.


aws-cloudhsm>listUsers

La CMU elenca tutti gli utenti del cluster.



Users on server 0(10.0.2.9):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO
Users on server 1(10.0.3.11):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO
Users on server 2(10.0.1.12):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO

Per ulteriori informazioni su listUsers, consulta listUsers.

Usa changePswd per modificare una password.

Solo i tipi e le password prevedono la distinzione tra lettere maiuscole e minuscole, non i nomi utente.

CO, crypto user (CU) e utente dell’applicazione (AU) possono modificare solo le proprie password. Per modificare la password di un altro utente, devi accedere come CO. Tuttavia, non potrai modificare la password di un utente che attualmente è connesso.

Per modificare la tua password

Usa lo strumento di configurazione per aggiornare la configurazione della CMU.

Avvia la CMU.

Accedi all’HSM.
```
aws-cloudhsm>loginHSM CO admin co12345
```
Assicurati che il numero di connessioni negli elenchi CMU corrisponda al numero di HSM nel cluster. In caso contrario, disconnettiti e ricomincia da capo.

Usa changePswd per modificare la tua password.


aws-cloudhsm>changePswd CO example_officer <new password>

La CMU richiede informazioni sull'operazione di modifica della password.



*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

Tipo y.

La CMU richiede informazioni sull'operazione di modifica della password.
```
Changing password for example_officer(CO) on 3 nodes
```

Per modificare la password di un altro utente

Usa lo strumento di configurazione per aggiornare la configurazione della CMU.

Avvia la CMU.

Accedi all’HSM come utente CO.
```
aws-cloudhsm>loginHSM CO admin co12345
```
Assicurati che il numero di connessioni negli elenchi CMU corrisponda al numero di HSM nel cluster. In caso contrario, disconnettiti e ricomincia da capo.

Usa changePswd per modificare la password di un altro utente.


aws-cloudhsm>changePswd CU example_user <new password>

La CMU richiede informazioni sull'operazione di modifica della password.



*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

Tipo y.

La CMU richiede informazioni sull'operazione di modifica della password.
```
Changing password for example_user(CU) on 3 nodes
```

Per ulteriori informazioni su changePswd, consulta changePswd.

Usa deleteUser per eliminare un utente. Per eliminare un altro utente devi accedere come CO.

Suggerimento

Non puoi eliminare i crypto user (CU) che possiedono chiavi.

Per eliminare un utente

Usa lo strumento di configurazione per aggiornare la configurazione della CMU.

Avvia la CMU.

Accedi all’HSM come utente CO.
```
aws-cloudhsm>loginHSM CO admin co12345
```
Assicurati che il numero di connessioni negli elenchi CMU corrisponda al numero di HSM nel cluster. In caso contrario, disconnettiti e ricomincia da capo.

Usa deleteUser per eliminare un utente.


aws-cloudhsm>deleteUser CO example_officer

La CMU elimina l'utente.



Deleting user example_officer(CO) on 3 nodes
deleteUser success on server 0(10.0.2.9)
deleteUser success on server 1(10.0.3.11)
deleteUser success on server 2(10.0.1.12)

Per ulteriori informazioni su deleteUser, consulta deleteUser.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo della CMU

Utilizzo della CMU per gestire la 2FA