Gestione degli utenti con autenticazione del quorum abilitata per AWS CloudHSM Management Utility - AWS CloudHSM
Fase 1: Ottenere un token del quorumFase 2: Ottieni firme dopo l'approvazione COsFase 3. Approva il token firmato sul HSMFase 4. Utilizza il token per operazioni di gestione degli utenti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione degli utenti con autenticazione del quorum abilitata per AWS CloudHSM Management Utility

Un responsabile della AWS CloudHSM crittografia (CO) sul modulo di sicurezza hardware (HSM) può configurare l'autenticazione quorum per le seguenti operazioni su: HSM

  • Creazione di utenti HSM

  • Eliminazione di utenti HSM

  • Modifica della password di un altro HSM utente

Dopo aver configurato l'autenticazione quorum, COs non HSM è possibile eseguire autonomamente le operazioni di gestione HSM degli utenti. L'esempio seguente mostra l'output quando un CO tenta di creare un nuovo utente su. HSM Il comando ha esito negativo con un errore RET_MXN_AUTH_FAILED, che indica che l'autenticazione del quorum non è stata effettuata correttamente.

aws-cloudhsm>createUser CU user1 password
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
Creating User user1(CU) on 2 nodes
createUser failed: RET_MXN_AUTH_FAILED
creating user on server 0(10.0.2.14) failed

Retry/Ignore/Abort?(R/I/A):A

Per eseguire un'operazione di gestione HSM degli utenti, un CO deve completare le seguenti attività:

  1. Ottenere un token del quorum.

  2. Ottieni approvazioni (firme) da altri. COs

  3. Approva il token su. HSM

  4. Eseguire l'operazione di gestione degli HSM utenti.

Se non hai ancora configurato l'autenticazione HSM per il quorumCOs, fallo ora. Per ulteriori informazioni, consulta Prima configurazione.

Fase 1: Ottenere un token del quorum

Innanzitutto, i CO devono utilizzare lo cloudhsm_mgmt_util strumento a riga di comando per richiedere un token del quorum.

Per ottenere un token del quorum

  1. Utilizzate il seguente comando per avviare il cloudhsm_mgmt_util strumento da riga di comando.

    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg

  2. Usa il loginHSM comando per accedere HSM come CO. Per ulteriori informazioni, consulta HSMgestione degli utenti con Cloud HSM Management Utility (CMU).

  3. Utilizza il comando getToken per ottenere un token del quorum. Per ulteriori informazioni, vedi l'esempio seguente oppure utilizza il comando help getToken.

Esempio - Ottenere un token del quorum

In questo esempio si ottiene un token del quorum per il CO con nome utente officer1, che viene salvato nel file officer1.token. Per utilizzare il comando di esempio, sostituisci i valori i tuoi personali:

  • officer1 — Il nome del CO che riceve il token. Deve essere lo stesso CO che ha effettuato l'accesso a HSM e sta eseguendo questo comando.

  • officer1.token — Il nome del file da utilizzare per archiviare il token del quorum.

Nel comando seguente, 3 identifica il servizio per cui potrai utilizzare il token ottenuto. In questo caso, il token serve per le operazioni di gestione HSM degli utenti (servizio 3). Per ulteriori informazioni, consulta Fase 2: Imposta il valore minimo del quorum su HSM.

aws-cloudhsm>getToken 3 officer1 officer1.token
getToken success on server 0(10.0.2.14)
Token:
Id:1
Service:3
Node:1
Key Handle:0
User:officer1
getToken success on server 1(10.0.1.4)
Token:
Id:1
Service:3
Node:0
Key Handle:0
User:officer1

Fase 2: Ottieni firme dopo l'approvazione COs

Un CO che ha un quorum token deve ottenere l'approvazione del token da altri. COs Per dare la propria approvazione, l'altro COs usa la propria chiave di firma per firmare crittograficamente il token. Lo fanno al di fuori del. HSM

Sono disponibili vari modi per firmare il token. L'esempio seguente mostra come farlo con Open SSL. Per utilizzare uno strumento di firma diverso, assicuratevi che lo strumento utilizzi la chiave privata del CO (chiave di firma) per firmare un digest SHA -256 del token.

Esempio — Ottieni firme dopo l'approvazione COs

In questo esempio, il CO che dispone del token (officer1) necessita di almeno due approvazioni. I seguenti comandi di esempio mostrano come due utenti COs possono utilizzare Open SSL per firmare crittograficamente il token.

Nel primo comando, officer1 firma il proprio token. Per utilizzare i seguenti comandi di esempio, sostituisci i valori con i tuoi personali:

  • officer1.key e officer2.key — Il nome del file che contiene la chiave di firma del CO.

  • officer1.token.sig1 e officer1.token.sig2 — Il nome del file da utilizzare per memorizzare la firma. Assicurati di salvare ogni firma in un file diverso.

  • officer1.token — Il nome del file che contiene il token che il CO sta firmando.

$ openssl dgst -sha256 -sign officer1.key -out officer1.token.sig1 officer1.token
Enter pass phrase for officer1.key:

Nel comando seguente, officer2 firma lo stesso token.

$ openssl dgst -sha256 -sign officer2.key -out officer1.token.sig2 officer1.token
Enter pass phrase for officer2.key:

Fase 3. Approva il token firmato sul HSM

Dopo che un CO ottiene il numero minimo di approvazioni (firme) da altriCOs, deve approvare il token firmato sul. HSM

Per approvare il token firmato su HSM

  1. Crea un file di approvazione del token. Per maggiori informazioni, consulta il seguente esempio:

  2. Utilizzate il seguente comando per avviare il cloudhsm_mgmt_util strumento da riga di comando.

    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg

  3. Usa il loginHSM comando per accedere HSM come CO. Per ulteriori informazioni, consulta HSMgestione degli utenti con Cloud HSM Management Utility (CMU).

  4. Utilizza il comando approveToken per approvare il token firmato, trasferendo il file di approvazione del token. Per maggiori informazioni, consulta il seguente esempio:

Esempio — Creare un file di approvazione del token e approvare il token firmato sul HSM

Il file di approvazione del token è un file di testo in un formato particolare HSM richiesto. Il file contiene informazioni sui token, sui relativi approvatori e sulle firme degli approvatori. Di seguito è mostrato un esempio di file di approvazione del token.

# For "Multi Token File Path", type the path to the file that contains
# the token. You can type the same value for "Token File Path", but
# that's not required. The "Token File Path" line is required in any
# case, regardless of whether you type a value.
Multi Token File Path = officer1.token;
Token File Path = ;

# Total number of approvals
Number of Approvals = 2;

# Approver 1
# Type the approver's type, name, and the path to the file that
# contains the approver's signature.
Approver Type = 2; # 2 for CO, 1 for CU
Approver Name = officer1;
Approval File = officer1.token.sig1;

# Approver 2
# Type the approver's type, name, and the path to the file that
# contains the approver's signature.
Approver Type = 2; # 2 for CO, 1 for CU
Approver Name = officer2;
Approval File = officer1.token.sig2;

Dopo avere creato il file di approvazione del token, il CO utilizza lo cloudhsm_mgmt_util strumento da riga di comando per accedere aHSM. Il CO utilizza quindi il comando approveToken per approvare il token, come mostrato nel seguente esempio. Replace (Sostituisci) approval.txt con il nome del file di approvazione del token.

aws-cloudhsm>approveToken approval.txt
approveToken success on server 0(10.0.2.14)
approveToken success on server 1(10.0.1.4)

Quando questo comando ha esito positivo, HSM ha approvato il token del quorum. Per controllare lo stato di un token, utilizza il comando listTokens, come mostrato nell'esempio di seguito. L'output del comando mostra che il token dispone del numero richiesto di approvazioni.

Il tempo di validità del token indica per quanto tempo è garantita la persistenza del token su. HSM Potrai utilizzare il token anche dopo la scadenza del periodo di validità (zero secondi).

aws-cloudhsm>listTokens

=====================
    Server 0(10.0.2.14)
=====================
-------- Token - 0 ----------
Token:
Id:1
Service:3
Node:1
Key Handle:0
User:officer1
Token Validity: 506 sec
Required num of approvers : 2
Current num of approvals : 2
Approver-0: officer1
Approver-1: officer2
Num of tokens = 1

=====================
    Server 1(10.0.1.4)
=====================
-------- Token - 0 ----------
Token:
Id:1
Service:3
Node:0
Key Handle:0
User:officer1
Token Validity: 506 sec
Required num of approvers : 2
Current num of approvals : 2
Approver-0: officer1
Approver-1: officer2
Num of tokens = 1

listTokens success

Fase 4. Utilizza il token per operazioni di gestione degli utenti

Dopo che un CO dispone di un token con il numero di approvazioni richiesto, come illustrato nella sezione precedente, il CO può eseguire una delle seguenti operazioni di gestione HSM degli utenti:

  • Crea un HSM utente con il comando createUser

  • Eliminare un HSM utente con il deleteUser comando

  • Cambia la password di un altro HSM utente con il changePswd comando

Per ulteriori informazioni sull'utilizzo di questi comandi, consulta HSMutenti.

Il CO può utilizzare il token per un'unica operazione. Quando tale operazione va a buon fine, il token non è più valido. Per eseguire un'altra operazione di gestione HSM degli utenti, il CO deve ottenere un nuovo token di quorum, ottenere nuove firme dagli approvatori e approvare il nuovo token su. HSM

Nota

Il token MofN è valido solo finché la sessione di accesso corrente è aperta. Se ti disconnetti da cloudhsm_mgmt_util o se la rete si disconnette, il token non è più valido. Analogamente, un token autorizzato può essere utilizzato solo all'interno di cloudhsm_mgmt_util e non può essere utilizzato per l'autenticazione in un'applicazione diversa.

Nel comando di esempio seguente, il CO crea un nuovo utente su. HSM

aws-cloudhsm>createUser CU user1 password
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
Creating User user1(CU) on 2 nodes

Dopo che quello precedente è stato eseguito correttamente, il comando listUsers successivo mostra il nuovo utente.

aws-cloudhsm>listUsers
Users on server 0(10.0.2.14):
Number of users found:8

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO
         8              CU              user1                                    NO               0               NO
Users on server 1(10.0.1.4):
Number of users found:8

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO
         8              CU              user1                                    NO               0               NO

Se il CO tenta di eseguire un'altra operazione di gestione HSM degli utenti, fallisce e viene generato un errore di autenticazione del quorum, come illustrato nell'esempio seguente.

aws-cloudhsm>deleteUser CU user1
Deleting user user1(CU) on 2 nodes
deleteUser failed: RET_MXN_AUTH_FAILED
deleteUser failed on server 0(10.0.2.14)

Retry/rollBack/Ignore?(R/B/I):I
deleteUser failed: RET_MXN_AUTH_FAILED
deleteUser failed on server 1(10.0.1.4)

Retry/rollBack/Ignore?(R/B/I):I

Il comando listTokens mostra che il CO non dispone di token approvati, come illustrato nel seguente esempio. Per eseguire un'altra operazione di gestione HSM degli utenti, il CO deve ottenere un nuovo token di quorum, ottenere nuove firme dagli approvatori e approvare il nuovo token su. HSM

aws-cloudhsm>listTokens

=====================
    Server 0(10.0.2.14)
=====================
Num of tokens = 0

=====================
    Server 1(10.0.1.4)
=====================
Num of tokens = 0

listTokens success