Configura l'autenticazione del quorum per gli amministratori utilizzando la CLI AWS CloudHSM CloudhSM - AWS CloudHSM
PrerequisitiFase 1: Creazione e registrazione di una chiave per la firmaFase 2: Impostazione del valore minimo del quorum sull'HSMValori minimi del quorum

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura l'autenticazione del quorum per gli amministratori utilizzando la CLI AWS CloudHSM CloudhSM

Gli argomenti seguenti descrivono i passaggi da completare per configurare il modulo di sicurezza hardware (HSM) in modo che gli amministratori possano utilizzare l'autenticazione quorum. AWS CloudHSM È necessario eseguire questa procedura una sola volta quando si configura l'autenticazione del quorum per gli amministratori per la prima volta. Una volta completata questa procedura, consultare Gestione degli utenti con autenticazione quorum abilitata per l'utilizzo della CLI AWS CloudHSM CloudhSM.

Prerequisiti

Per comprendere questo esempio, è bene avere familiarità con la CLI di CloudHSM.

Fase 1: Creazione e registrazione di una chiave per la firma

Per utilizzare l'autenticazione del quorum, ogni amministratore deve completare tutti i seguenti passaggi:

Creazione di una coppia di chiavi RSA

Esistono molti modi diversi per creare e proteggere una coppia di chiavi. Gli esempi a seguire mostrano come eseguire questa operazione con OpenSSL.

Esempio - Creazione di una chiave privata con OpenSSL

L'esempio seguente dimostra come utilizzare OpenSSL per creare una chiave RSA a 2048 bit. Per utilizzare questo esempio, sostituiscilo <admin.key> con il nome del file in cui desideri memorizzare la chiave.

$ openssl genrsa -out <admin.key>
Generating RSA private key, 2048 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)

Successivamente, genera la chiave pubblica utilizzando la chiave privata appena creata.

Esempio - Creazione di una chiave pubblica con OpenSSL

L'esempio seguente dimostra come utilizzare OpenSSL per creare una chiave pubblica dalla chiave privata appena creata.

$ openssl rsa -in admin.key -outform PEM -pubout -out admin1.pub
writing RSA key

Creazione e firma di un token di registrazione

Crea un token e firmalo con la chiave privata appena generata nella fase precedente.

Esempio - Creazione di un token di registrazione

  1. Utilizza il seguente comando per avviare la CLI di CloudHSM:

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\> .\cloudhsm-cli.exe interactive

  2. Crea un token di registrazione eseguendo il comando quorum token-sign generate:

    aws-cloudhsm > quorum token-sign generate --service registration --token /path/tokenfile
{
  "error_code": 0,
  "data": {
    "path": "/path/tokenfile"
  }
}

  3. Il comando quorum token-sign generate genera un token di registrazione nel percorso del file specificato. Ispeziona il file del token:

    $ cat /path/tokenfile{
  "version": "2.0",
  "tokens": [
    {
      "approval_data": <approval data in base64 encoding>,
      "unsigned": <unsigned token in base64 encoding>,
      "signed": ""
    }
  ]
}

    Il file del token comprende:

    • approval_data: un token di dati randomizzato con codifica base64 i cui dati non elaborati non superano il limite massimo di 245 byte.

    • unsigned: un token codificato e con SHA256 hash in base64 di approval_data.

    • signed: un token firmato con codifica base64 (firma) del token non firmato, che utilizza la chiave privata RSA a 2048 bit generata precedentemente con OpenSSL.

    Firma il token non firmato con la chiave privata per dimostrare di avere accesso alla chiave privata. Avrai bisogno del file del token di registrazione completamente compilato con una firma e la chiave pubblica per registrare l'amministratore come utente del quorum nel cluster. AWS CloudHSM

Esempio - Firma del token di registrazione non firmato

  1. Decodifica il token non firmato con codifica base64 e inseriscilo in un file binario:

    $ echo -n '6BMUj6mUjjko6ZLCEdzGlWpR5sILhFJfqhW1ej3Oq1g=' | base64 -d > admin.bin

  2. Utilizza OpenSSL e la chiave privata per firmare il token di registrazione non firmato ora binario e crea un file di firma binario:

    $ openssl pkeyutl -sign \
-inkey admin.key \
-pkeyopt digest:sha256 \
-keyform PEM \
-in admin.bin \
-out admin.sig.bin

  3. Codifica la firma binaria in base64:

    $ base64 -w0 admin.sig.bin > admin.sig.b64

  4. Copia e incolla la firma con codifica base64 nel file token:

    {
  "version": "2.0",
  "tokens": [
    {
      "approval_data": <approval data in base64 encoding>,
      "unsigned": <unsigned token in base64 encoding>,
      "signed": <signed token in base64 encoding>
    }
  ]
}

Registrazione della chiave pubblica con HSM

Dopo aver creato una chiave, l'amministratore deve registrare la chiave pubblica nel cluster. AWS CloudHSM

Per registrare una chiave pubblica con l'HSM

  1. Utilizza il seguente comando per avviare la CLI di CloudHSM:

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\> .\cloudhsm-cli.exe interactive

  2. Utilizzando la CLI di CloudHSM, esegui l'accesso come amministratore.

    aws-cloudhsm > login --username admin --role admin
Enter password:
{
  "error_code": 0,
  "data": {
    "username": "admin",
    "role": "admin"
  }
}

  3. Utilizza il comando Registra la strategia del quorum di firma con token di un utente utilizzando Cloud HSM CLI per registrare una chiave pubblica. Per ulteriori informazioni, vedi l'esempio seguente oppure utilizza il comando help user change-quorum token-sign register.

Esempio — Registra una chiave pubblica con il AWS CloudHSM cluster

L'esempio seguente mostra come usare il comando user change-quorum token-sign register nella CLI di CloudHSM per registrare una chiave pubblica di un amministratore nell'HSM. Per utilizzare questo comando, l'amministratore deve aver eseguito l'accesso all'HSM. Sostituire questi valori con i propri valori:

aws-cloudhsm > user change-quorum token-sign register --public-key </path/admin.pub> --signed-token </path/tokenfile>
{
  "error_code": 0,
  "data": {
    "username": "admin",
    "role": "admin"
  }
}
Nota

/path/admin.pub: il percorso del file al file PEM della chiave pubblica

Campo obbligatorio: sì

/path/tokenfile: il percorso del file con il token firmato dalla chiave privata dell'utente

Campo obbligatorio: sì

Una volta che tutti gli amministratori hanno registrato le proprie chiavi pubbliche, l'output del comando user list mostra l'avvenuta registrazione nel campo del quorum, indicando la strategia del quorum abilitata in uso, come illustrato di seguito:

aws-cloudhsm > user list
{
  "error_code": 0,
  "data": {
    "users": [
      {
        "username": "admin",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [
          {
            "strategy": "token-sign",
            "status": "enabled"
          }
        ],
        "cluster-coverage": "full"
      },
      {
        "username": "admin2",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [
          {
            "strategy": "token-sign",
            "status": "enabled"
          }
        ],
        "cluster-coverage": "full"
      },
      {
        "username": "admin3",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [
          {
            "strategy": "token-sign",
            "status": "enabled"
          }
        ],
        "cluster-coverage": "full"
      },
      {
        "username": "admin4",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [
          {
            "strategy": "token-sign",
            "status": "enabled"
          }
        ],
        "cluster-coverage": "full"
      },
      {
        "username": "app_user",
        "role": "internal(APPLIANCE_USER)",
        "locked": "false",
        "mfa": [],
        "quorum": [],
        "cluster-coverage": "full"
      }
    ]
  }
}

In questo esempio, il AWS CloudHSM cluster ne ha due HSMs, ciascuno con gli stessi amministratori, come mostrato nel seguente output del user list comando. Per ulteriori informazioni sulla creazione di utenti, vedere Gestione degli utenti con CloudHSM CLI

Fase 2: Impostazione del valore minimo del quorum sull'HSM

Per utilizzare l'autenticazione del quorum, un amministratore deve effettuare l'accesso all'HSM e quindi impostare il valore minimo del quorum. Questo è il numero minimo di approvazioni dell'amministratore necessarie per l'esecuzione delle operazioni di gestione degli utenti HSM. Qualsiasi amministratore nell'HSM può impostare il valore minimo del quorum, compresi gli amministratori che non hanno registrato una chiave per la firma. Puoi modificare il valore minimo del quorum in qualsiasi momento. Per ulteriori informazioni, consulta Modifica del valore minimo.

Per impostare il valore minimo del quorum sull'HSM

  1. Utilizza il seguente comando per avviare la CLI di CloudHSM:

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\> .\cloudhsm-cli.exe interactive

  2. Utilizzando la CLI di CloudHSM, esegui l'accesso come amministratore.

    aws-cloudhsm > login --username admin --role admin
Enter password:
{
  "error_code": 0,
  "data": {
    "username": "admin",
    "role": "admin"
  }
}

  3. Utilizzare il comando Aggiorna un valore del quorum utilizzando Cloud HSM CLI per impostare il valore minimo del quorum. Il --service flag identifica il servizio HSM per cui stai impostando i valori. Vedi l'esempio seguente o usa il help quorum token-sign set-quorum-value comando per ulteriori informazioni.

Esempio - Impostazione del valore minimo del quorum sull'HSM

Questo esempio utilizza un valore minimo del quorum pari a due (2). È possibile scegliere qualsiasi valore compreso tra due (2) e otto (8), fino al numero totale di amministratori sull'HSM. In questo esempio, l'HSM ha quattro (4) amministratori, quindi il valore massimo possibile è quattro (4).

Per utilizzare il comando di esempio seguente, sostituite il numero finale (<2>) con il valore minimo del quorum preferito.

aws-cloudhsm > quorum token-sign set-quorum-value --service user --value <2>
{
  "error_code": 0,
  "data": "Set quorum value successful"
}

In questo esempio, il Mostra i valori del quorum utilizzando Cloud HSM CLI comando elenca i tipi, i nomi e le descrizioni dei servizi HSM inclusi nel servizio.

Valori minimi del quorum

Utilizza il comando quorum token-sign list-quorum-values per ottenere il valore minimo del quorum per un servizio:

aws-cloudhsm > quorum token-sign list-quorum-values
{
  "error_code": 0,
  "data": {
    "user": 2,
    "quorum": 1
  }
}

L'output del comando quorum token-sign list-quorum-values precedente mostra che il valore minimo del quorum per il servizio utente HSM, responsabile delle operazioni di gestione degli utenti, è ora due (2). Una volta completata questa procedura, consultare Gestione degli utenti con quorum (M of N).

Servizi admin: l'autenticazione del quorum viene utilizzata per servizi che necessitano dei privilegi dell'admin come la creazione e l'eliminazione di utenti, la modifica delle password degli utenti, l'impostazione dei valori del quorum e la disattivazione delle funzionalità quorum e MFA.

Crypto User Services: l'autenticazione Quorum viene utilizzata per i servizi privilegiati degli utenti crittografici associati a una chiave specifica, come la firma con una chiave, una chiave e l'impostazione dell'attributo di sharing/unsharing a key, wrapping/unwrapping una chiave. Il valore quorum di una chiave associata viene configurato quando la chiave viene generata, importata o aperta. Il valore del quorum deve essere uguale o inferiore al numero di utenti a cui è associata la chiave, che include gli utenti con cui la chiave è condivisa e il proprietario della chiave.

Ogni tipo di servizio è ulteriormente suddiviso in un nome di servizio qualificante, che contiene un set specifico di operazioni di servizio supportate dal quorum che possono essere eseguite.

Nome servizio Tipo di servizio Operazioni di servizio
Utente Admin

  • user create

  • user delete

  • user change-password

  • user change-mfa
quorum Admin

  • segno del token del quorum set-quorum-value
gruppo 1 Admin

  • cluster mtls register-trust-anchor

  • cluster mtls deregister-trust-anchor

  • cluster mtls set-enforcement
gestione delle chiavi Utente Crypto

  • involucro per chiavi

  • scartare le chiavi

  • Condivisione chiave

  • Annulla condivisione chiave

  • key set-attribute
utilizzo delle chiavi Utente Crypto

  • segno chiave

[1] Il servizio cluster è disponibile esclusivamente su hsm2m.medium