Configura l'autenticazione del quorum per gli AWS CloudHSM amministratori tramite Cloud HSM CLI - AWS CloudHSM
PrerequisitiFase 1: Creazione e registrazione di una chiave per la firmaFase 2: Imposta il valore minimo del quorum su HSM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura l'autenticazione del quorum per gli AWS CloudHSM amministratori tramite Cloud HSM CLI

I seguenti argomenti descrivono i passaggi da completare per configurare il modulo di sicurezza hardware (HSM) in modo che gli AWS CloudHSM amministratori possano utilizzare l'autenticazione quorum. È necessario eseguire questa procedura una sola volta quando si configura l'autenticazione del quorum per gli amministratori per la prima volta. Una volta completata questa procedura, consultare Gestione degli utenti con autenticazione del quorum abilitata per AWS CloudHSM l'utilizzo di Cloud HSM CLI.

Prerequisiti

Per comprendere questo esempio, è necessario conoscere Cloud. HSM CLI In questo esempio, il AWS CloudHSM cluster ne ha dueHSMs, ciascuno con gli stessi amministratori, come mostrato nel seguente output del user list comando. Per ulteriori informazioni sulla creazione degli utenti, vedere Gestione degli utenti con Cloud HSM CLI.

aws-cloudhsm>user list
{
  "error_code": 0,
  "data": {
    "users": [
      {
        "username": "admin",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [],
        "cluster-coverage": "full"
      },
      {
        "username": "admin2",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [],
        "cluster-coverage": "full"
      },
      {
        "username": "admin3",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [],
        "cluster-coverage": "full"
      },
      {
        "username": "admin4",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [],
        "cluster-coverage": "full"
      },
      {
        "username": "app_user",
        "role": "internal(APPLIANCE_USER)",
        "locked": "false",
        "mfa": [],
        "quorum": [],
        "cluster-coverage": "full"
      }
    ]
  }
}

Fase 1: Creazione e registrazione di una chiave per la firma

Per utilizzare l'autenticazione del quorum, ogni amministratore deve completare tutti i seguenti passaggi:

Crea una RSA key pair

Esistono molti modi diversi per creare e proteggere una coppia di chiavi. Gli esempi seguenti mostrano come eseguire questa operazione con Open SSL.

Esempio — Crea una chiave privata con Open SSL

L'esempio seguente mostra come utilizzare Open per creare una RSA chiave SSL a 2048 bit protetta da una passphrase. Per utilizzare questo esempio, sostituisci <admin.key> con il nome del file in cui si desidera memorizzare la chiave.

$ openssl genrsa -out <admin.key> -aes256 2048
Generating RSA private key, 2048 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)
Enter pass phrase for admin.key:
Verifying - Enter pass phrase for admin.key:

Successivamente, genera la chiave pubblica utilizzando la chiave privata appena creata.

Esempio — Crea una chiave pubblica con Open SSL

L'esempio seguente mostra come utilizzare Open SSL per creare una chiave pubblica dalla chiave privata appena creata.

$ openssl rsa -in admin.key -outform PEM -pubout -out admin1.pub
Enter pass phrase for admin.key:
writing RSA key

Creazione e firma di un token di registrazione

Crea un token e firmalo con la chiave privata appena generata nella fase precedente.

Esempio - Creazione di un token di registrazione

  1. Usa il seguente comando per avviare il Cloud HSMCLI:

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\> .\cloudhsm-cli.exe interactive

  2. Crea un token di registrazione eseguendo il comando quorum token-sign generate:

    aws-cloudhsm > quorum token-sign generate --service registration --token /path/tokenfile
{
  "error_code": 0,
  "data": {
    "path": "/path/tokenfile"
  }
}

  3. Il comando quorum token-sign generate genera un token di registrazione nel percorso del file specificato. Ispeziona il file del token:

    $ cat /path/tokenfile{
  "version": "2.0",
  "tokens": [
    {
      "approval_data": <approval data in base64 encoding>,
      "unsigned": <unsigned token in base64 encoding>,
      "signed": ""
    }
  ]
}

    Il file del token comprende:

    • approval_data: un token di dati randomizzato con codifica base64 i cui dati non elaborati non superano il limite massimo di 245 byte.

    • unsigned: un token codificato in base64 e con SHA256 hash di approval_data.

    • signed: un token firmato codificato in base64 (firma) del token non firmato, che utilizza la chiave privata a 2048 bit precedentemente generata con Open. RSA SSL

    Firma il token non firmato con la chiave privata per dimostrare di avere accesso alla chiave privata. Avrai bisogno del file del token di registrazione completamente compilato con una firma e della chiave pubblica per registrare l'amministratore come utente del quorum nel cluster. AWS CloudHSM

Esempio - Firma del token di registrazione non firmato

  1. Decodifica il token non firmato con codifica base64 e inseriscilo in un file binario:

    $ echo -n '6BMUj6mUjjko6ZLCEdzGlWpR5sILhFJfqhW1ej3Oq1g=' | base64 -d > admin.bin

  2. Usa Open SSL e la chiave privata per firmare il token di registrazione ora binario non firmato e creare un file di firma binario:

    $ openssl pkeyutl -sign \
-inkey admin.key \
-pkeyopt digest:sha256 \
-keyform PEM \
-in admin.bin \
-out admin.sig.bin

  3. Codifica la firma binaria in base64:

    $ base64 -w0 admin.sig.bin > admin.sig.b64

  4. Copia e incolla la firma con codifica base64 nel file token:

    {
  "version": "2.0",
  "tokens": [
    {
      "approval_data": <approval data in base64 encoding>,
      "unsigned": <unsigned token in base64 encoding>,
      "signed": <signed token in base64 encoding>
    }
  ]
}

Registra la chiave pubblica con HSM

Dopo aver creato una chiave, l'amministratore deve registrare la chiave pubblica nel AWS CloudHSM cluster.

Per registrare una chiave pubblica con HSM

  1. Usa il seguente comando per avviare Cloud HSMCLI:

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\> .\cloudhsm-cli.exe interactive

  2. Utilizzando Cloud HSMCLI, accedi come amministratore.

    aws-cloudhsm > login --username admin --role admin
Enter password:
{
  "error_code": 0,
  "data": {
    "username": "admin",
    "role": "admin"
  }
}

  3. Utilizza il comando Registra la strategia del quorum di firma con token di un utente utilizzando Cloud HSM CLI per registrare una chiave pubblica. Per ulteriori informazioni, vedi l'esempio seguente oppure utilizza il comando help user change-quorum token-sign register.

Esempio — Registra una chiave pubblica con AWS CloudHSM cluster

L'esempio seguente mostra come utilizzare il user change-quorum token-sign register comando in Cloud HSM CLI per registrare la chiave pubblica di un amministratore con. HSM Per utilizzare questo comando, l'amministratore deve accedere a. HSM Sostituire questi valori con i propri valori:

aws-cloudhsm > user change-quorum token-sign register --public-key </path/admin.pub> --signed-token </path/tokenfile>
{
  "error_code": 0,
  "data": {
    "username": "admin",
    "role": "admin"
  }
}
Nota

/path/admin.pub: il percorso del file della chiave pubblica PEM

Campo obbligatorio: sì

/path/tokenfile: il percorso del file con il token firmato dalla chiave privata dell'utente

Campo obbligatorio: sì

Una volta che tutti gli amministratori hanno registrato le proprie chiavi pubbliche, l'output del comando user list mostra l'avvenuta registrazione nel campo del quorum, indicando la strategia del quorum abilitata in uso, come illustrato di seguito:

aws-cloudhsm > user list
{
  "error_code": 0,
  "data": {
    "users": [
      {
        "username": "admin",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [
          {
            "strategy": "token-sign",
            "status": "enabled"
          }
        ],
        "cluster-coverage": "full"
      },
      {
        "username": "admin2",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [
          {
            "strategy": "token-sign",
            "status": "enabled"
          }
        ],
        "cluster-coverage": "full"
      },
      {
        "username": "admin3",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [
          {
            "strategy": "token-sign",
            "status": "enabled"
          }
        ],
        "cluster-coverage": "full"
      },
      {
        "username": "admin4",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [
          {
            "strategy": "token-sign",
            "status": "enabled"
          }
        ],
        "cluster-coverage": "full"
      },
      {
        "username": "app_user",
        "role": "internal(APPLIANCE_USER)",
        "locked": "false",
        "mfa": [],
        "quorum": [],
        "cluster-coverage": "full"
      }
    ]
  }
}

Fase 2: Imposta il valore minimo del quorum su HSM

Per utilizzare l'autenticazione del quorum, un amministratore deve accedere a HSM e quindi impostare il valore minimo del quorum. Questo è il numero minimo di approvazioni amministrative necessarie per eseguire le operazioni di gestione degli utenti. HSM Qualsiasi amministratore di HSM può impostare il valore minimo del quorum, compresi gli amministratori che non hanno registrato una chiave per la firma. È possibile modificare il valore minimo del quorum in qualsiasi momento; per ulteriori informazioni, consulta la pagina Modifica del valore minimo.

Per impostare il valore minimo del quorum su HSM

  1. Usa il seguente comando per avviare Cloud: HSM CLI

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\> .\cloudhsm-cli.exe interactive

  2. Utilizzando Cloud HSMCLI, accedi come amministratore.

    aws-cloudhsm > login --username admin --role admin
Enter password:
{
  "error_code": 0,
  "data": {
    "username": "admin",
    "role": "admin"
  }
}

  3. Utilizzare il comando Aggiorna un valore del quorum utilizzando Cloud HSM CLI per impostare il valore minimo del quorum. Per ulteriori informazioni, vedi l'esempio seguente oppure utilizza il comando help quorum token-sign set-quorum-value.

Esempio — Imposta il valore minimo del quorum sul HSM

Questo esempio utilizza un valore minimo del quorum pari a due (2). Puoi scegliere qualsiasi valore da due (2) a otto (8), fino al numero totale di amministratori su. HSM In questo esempio, HSM ha quattro (4) amministratori, quindi il valore massimo possibile è quattro (4).

Per utilizzare il seguente comando di esempio, sostituite il numero finale (<2>) con il valore minimo del quorum preferito.

aws-cloudhsm > quorum token-sign set-quorum-value --service user --value <2>
{
  "error_code": 0,
  "data": "Set quorum value successful"
}

In questo esempio, il servizio identifica il servizio di cui si sta impostando il HSM valore minimo del quorum. Il Mostra i valori del quorum utilizzando Cloud HSM CLI comando elenca i tipi, i nomi e le descrizioni dei servizi inclusi nel HSM servizio.

Servizi di amministrazione: l'autenticazione quorum viene utilizzata per servizi con privilegi di amministratore come la creazione di utenti, l'eliminazione di utenti, la modifica delle password degli utenti, l'impostazione dei valori del quorum e la disattivazione del quorum e delle funzionalità. MFA

Ogni tipo di servizio è ulteriormente suddiviso in un nome di servizio qualificante, che contiene un set specifico di operazioni di servizio supportate dal quorum che possono essere eseguite.

Nome servizio Tipo di servizio Operazioni di servizio
Utente Admin

  • user create

  • user delete

  • user change-password

  • user change-mfa
quorum Admin

  • firma del token del quorum set-quorum-value
gruppo 1 Admin

  • cluster mtls register-trust-anchor

  • cluster mtls deregister-trust-anchor

  • cluster mtls set-enforcement

[1] Il servizio cluster è disponibile esclusivamente su hsm2m.medium

Utilizza il comando quorum token-sign list-quorum-values per ottenere il valore minimo del quorum per un servizio:

aws-cloudhsm > quorum token-sign list-quorum-values
{
  "error_code": 0,
  "data": {
    "user": 2,
    "quorum": 1
  }
}

L'output del quorum token-sign list-quorum-values comando precedente mostra che il valore minimo del quorum per il servizio HSM utente, responsabile delle operazioni di gestione degli utenti, è ora due (2). Una volta completata questa procedura, consultare Gestione degli utenti con quorum (M of N).