registerQuorumPubChiave - AWS CloudHSM
Tipo di utenteSintassiEsempiArgomentiArgomenti correlati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

registerQuorumPubChiave

Il comando registerQuorumPubKey in cloudhsm_mgmt_util associa gli utenti del modulo di sicurezza hardware (HSM) a coppie di chiavi RSA-2048 asimmetriche. Una volta associati gli utenti HSM alle chiavi, tali utenti possono utilizzare la chiave privata per approvare le richieste del quorum e il cluster può utilizzare la chiave pubblica registrata per verificare che la firma provenga dall'utente. Per ulteriori informazioni sull'autenticazione del quorum, vedi Gestire l'Autenticazione del Quorum (Controllo Acessi M of N).

Suggerimento

Nella documentazione AWS CloudHSM, l'autenticazione del quorum viene talvolta definita M of N (MoFN), il che significa un minimo M di approvatori su un numero totale N di approvatori.

Tipo di utente

I seguenti tipi di utenti possono eseguire questo comando.

  • Crypto officer (CO)

Sintassi

Poiché questi comandi non dispongono di parametri denominati, è necessario immettere gli argomenti nell'ordine specificato nei diagrammi sintattici.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>

Esempi

Questo esempio mostra come usare registerQuorumPubKey per registrare i crypto officer (CO) come approvatori delle richieste di autenticazione del quorum. Per eseguire questo comando, è necessario disporre di una coppia di chiavi RSA-2048 asimmetriche, un token firmato e un token non firmato. Per ulteriori informazioni sui requisiti, vedi Argomenti.

Esempio : Registra un utente HSM per l'autenticazione del quorum

Questo esempio registra un CO denominato quorum_officer come approvatore per l'autenticazione del quorum. 

aws-cloudhsm> registerQuorumPubKey CO <quorum_officer> </path/to/quorum_officer.token> </path/to/quorum_officer.token.sig> </path/to/quorum_officer.pub>

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
registerQuorumPubKey success on server 0(10.0.0.1)

Il comando finale utilizza il comando listUsers per verificare che quorum_officer sia registrato come utente MoFN. 

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              quorum_officer                          YES               0               NO

Argomenti

Poiché questi comandi non dispongono di parametri denominati, è necessario immettere gli argomenti nell'ordine specificato nei diagrammi sintattici.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>
<tipo-utente>

Specifica il tipo di utente. Questo parametro è obbligatorio.

Per informazioni dettagliate sui tipi di utente su un HSM, vedi Informazioni sugli utenti HSM.

Valori validi:

  • CO: i crypto officer possono gestire gli utenti ma non le chiavi.

Campo obbligatorio: sì

<nome-utente>

Specifica un nome intuitivo per l'utente. La lunghezza massima è 31 caratteri. L'unico carattere speciale consentito è il trattino basso (_).

Non puoi modificare il nome di un utente dopo che è stato creato. Nei comandi cloudhsm_mgmt_util, il tipo di utente e la password sono sensibili alle maiuscole e alle minuscole, il nome dell'utente no.

Campo obbligatorio: sì

<registrazione-token>

Specifica il percorso di un file che contiene un token di registrazione non firmato. Può contenere qualsiasi dato casuale della dimensione massima del file di 245 byte. Per ulteriori informazioni sulla creazione di un token di registrazione non firmato, vedi Creare e firmare un token di registrazione.

Campo obbligatorio: sì

<signed-registration-token>

Specifica il percorso di un file che contiene l'hash firmato dal meccanismo SHA256_PKCS del token di registrazione. Per ulteriori informazioni, vedi Creare e firmare un token di registrazione.

Campo obbligatorio: sì

<chiavi-pubbliche>

Specifica il percorso di un file che contiene la chiave pubblica di una coppia di chiavi RSA-2048 asimmetriche. Utilizza la chiave privata per firmare il token di registrazione. Per ulteriori informazioni, vedi Creare una coppia di chiavi RSA.

Campo obbligatorio: sì

Nota

Il cluster utilizza la stessa chiave per l'autenticazione del quorum e per l'autenticazione a due fattori (2FA). Ciò significa che non è possibile ruotare una chiave quorum per un utente che ha abilitato la 2FA usando registerQuorumPubKey. Per ruotare la chiave, è necessario utilizzare changePswd. Per ulteriori informazioni sull'utilizzo dell'autenticazione del quorum e della 2FA, vedi Autenticazione del quorum e 2FA.

Argomenti correlati