翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudHSM 管理ユーティリティ (CMU) を使用したユーザーの管理
このトピックでは、クライアント SDK に付属するコマンドラインツールである CloudHSM 管理ユーティリティ (CMU) を使用して、ハードウェアセキュリティモジュール (HSM) ユーザーを管理する step-by-step 方法について説明します。CMU または HSM ユーザーの詳細情報は、CloudHSM 管理ユーティリティ と HSM ユーザーを理解する を参照してください。
CMU を使用した HSM ユーザー管理について
HSM ユーザーを管理するには、暗号化オフィサー (CO) のユーザー名とパスワードを使用して HSM にログインする必要があります。CO のみユーザーを管理できます。HSM には、admin という名前のデフォルト CO が含まれています。admin クラスターのアクティブ化 の際に必要なパスワードを設定しました。
CMU を使用する場合、設定ツールでローカル設定を更新する必要があります。CMU はクラスターへの独自の接続を作成しますが、この接続はクラスターを 認識しません。クラスター情報を追跡するため、CMU はローカル設定ファイルを保持します。これは、毎回 CMU を使用する際、まず、--cmu パラメータを指定して 設定 コマンドラインツールを実行し、設定ファイルを更新する必要があります。Client SDK 3.2.1 以前のバージョンを使用している場合、--cmu とは異なるパラメータを使用する必要があります。詳細については、「Client SDK 3.2.1 以前のバージョンでの CMU の使用」を参照してください。
--cmu パラメータには、クラスター内の HSM の IP アドレスを追加する必要があります。複数の HSM をお持ちの方は、任意の IP アドレスを使用できます。これで確実に CMU がクラスター全体に加えた変更を伝播できます。CMU はローカルファイルを使用してクラスター情報を追跡することに注意してください。特定のホストから CMU を最後に使用後にクラスターが変更されている場合、該当するホストに保存されているローカル設定ファイルにそれらの変更を追加する必要があります。CMU の使用中に HSM を追加または削除しないでください。
HSM の IP アドレスを取得するには (コンソール)
https://console.aws.amazon.com/cloudhsm/home
で AWS CloudHSM コンソールを開きます。 -
AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。
-
クラスターの詳細ページを開くには、クラスターテーブルでクラスター ID を選択します。
-
IP アドレスを取得するには、[HSM] タブで、[ENI IP アドレス] にリストされている IP アドレスのいずれかを選択します。
HSM の IP アドレスを取得するには (AWS CLI)
-
describe-clusters から AWS CLIコマンドを実行して、HSM の IP アドレスを取得します。コマンドの出力では、HSM の IP アドレスは
EniIpの値です。$aws cloudhsmv2 describe-clusters{ "Clusters": [ { ... } "Hsms": [ { ... "EniIp": "10.0.0.9", ... }, { ... "EniIp": "10.0.1.6", ...
Client SDK 3.2.1 以前のバージョンでの CMU の使用
Client SDK 3.3.0 では、 --cmuパラメータのサポート AWS CloudHSM が追加されました。これにより、CMU の設定ファイルを更新するプロセスが簡素化されます。Client SDK 3.2.1 以前のバージョンの CMU を使用している場合は、-a と -m パラメータを引き続き使用して設定ファイルを更新する必要があります。パラメータの詳細情報は、設定ツール を参照してください。
CloudHSM 管理ユーティリティのダウンロード
Client SDK 5 および Client SDK 3 の使用の有無を問わず、 HSM ユーザー管理タスクで最新バージョンの CMU を使用できます。
CMU のダウンロードおよびインストール
-
CMU をダウンロードおよびインストールします。
CMU で HSM ユーザーを管理する方法
このセクションでは、CMU を使用した HSM ユーザーを管理用の基本的なコマンドについて説明します。
HSM に createUser を使用して新しいユーザーを作成します。ユーザーを作成する場合、CO としてログインする必要があります。
新しい CO ユーザーの作成
-
設定ツールで CMU 設定を更新します。
-
CMU を開始します。
-
CO ユーザーとして HSM にログインします。
aws-cloudhsm>loginHSM CO admin co12345接続 CMU リストの数が、クラスター内の HSM 数と一致していることを確認します。一致しない場合、ログアウトして最初からやり直してください。
-
createUser を使用して、 パスワードを
example_officerに設定してpassword1という CO ユーザーを作成します。aws-cloudhsm>createUser CO example_officer password1CMU は、ユーザーの作成オペレーションについてプロンプトを表示します。
*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)? -
タイプ
y。
新しい CU ユーザーの作成
-
設定ツールで CMU 設定を更新します。
-
CMU を開始します。
-
CO ユーザーとして HSM にログインします。
aws-cloudhsm>loginHSM CO admin co12345接続 CMU リストの数が、クラスター内の HSM 数と一致していることを確認します。一致しない場合、ログアウトして最初からやり直してください。
-
createUser を使用して、
example_userという CU ユーザーをパスワードはpassword1で作成します。aws-cloudhsm>createUser CU example_user password1CMU は、ユーザーの作成オペレーションについてプロンプトを表示します。
*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)? -
タイプ
y。
createUser の詳細情報は、createUser を参照してください。
listUsers コマンドを使用して、クラスター上のすべてのユーザーを一覧表示します。listUsers を実行する際、ログインは不要であり、すべてのユーザータイプでユーザーをリストアップできます。
クラスター上のすべてのユーザーを一覧表示
-
設定ツールで CMU 設定を更新します。
-
CMU を開始します。
-
listUsers を使用して、クラスター上のすべてのユーザーを一覧表示します。
aws-cloudhsm>listUsersCMU は、クラスター上のすべてのユーザーを一覧表示します。
Users on server 0(10.0.2.9): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 AU app_user NO 0 NO 2 CO example_officer NO 0 NO 3 CU example_user NO 0 NO Users on server 1(10.0.3.11): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 AU app_user NO 0 NO 2 CO example_officer NO 0 NO 3 CU example_user NO 0 NO Users on server 2(10.0.1.12): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 AU app_user NO 0 NO 2 CO example_officer NO 0 NO 3 CU example_user NO 0 NO
listUsers の詳細情報は、listUsers を参照してください。
changePswd を使用してパスワードを変更します。
ユーザータイプとパスワードは大文字と小文字が区別されますが、ユーザー名では区別されません。
暗号化ユーザー (CU) とアプライアンスユーザー (AU) は、自分のパスワードのみ変更できます。別のユーザーのパスワードを変更する場合、CO としてログインする必要があります。ただし、現在ログインしているユーザーのパスワードを変更することはできません。
自分のパスワードの変更
-
設定ツールで CMU 設定を更新します。
-
CMU を開始します。
-
HSM へログインします。
aws-cloudhsm>loginHSM CO admin co12345接続 CMU リストの数が、クラスター内の HSM 数と一致していることを確認します。一致しない場合、ログアウトして最初からやり直してください。
-
changePswd を使用してユーザー自身のパスワードを変更します。
aws-cloudhsm>changePswd CO example_officer<new password>CMU は、パスワードの変更オペレーションについてプロンプトを表示します。
*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)? -
タイプ
y。CMU は、パスワードの変更オペレーションについてプロンプトを表示します。
Changing password for example_officer(CO) on 3 nodes
別のユーザーのパスワードの変更
-
設定ツールで CMU 設定を更新します。
-
CMU を開始します。
-
CO ユーザーとして HSM にログインします。
aws-cloudhsm>loginHSM CO admin co12345接続 CMU リストの数が、クラスター内の HSM 数と一致していることを確認します。一致しない場合、ログアウトして最初からやり直してください。
-
changePswd を使用して別のユーザーのパスワードを変更します。
aws-cloudhsm>changePswd CU example_user<new password>CMU は、パスワードの変更オペレーションについてプロンプトを表示します。
*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)? -
タイプ
y。CMU は、パスワードの変更オペレーションについてプロンプトを表示します。
Changing password for example_user(CU) on 3 nodes
changePswd の詳細情報は、[パスワードの変更] を参照してください。
deleteUser を使用してユーザーを削除します。別のユーザーを削除する場合、CO としてログインする必要があります。
ヒント
キーを所有している暗号化ユーザー (CU) を削除することはできません。
ユーザーの削除
-
設定ツールで CMU 設定を更新します。
-
CMU を開始します。
-
CO ユーザーとして HSM にログインします。
aws-cloudhsm>loginHSM CO admin co12345接続 CMU リストの数が、クラスター内の HSM 数と一致していることを確認します。一致しない場合、ログアウトして最初からやり直してください。
-
deleteUser を使用してユーザーを削除します。
aws-cloudhsm>deleteUser CO example_officerCMU がユーザーを削除します。
Deleting user example_officer(CO) on 3 nodes deleteUser success on server 0(10.0.2.9) deleteUser success on server 1(10.0.3.11) deleteUser success on server 2(10.0.1.12)
deleteUser の詳細情報は、deleteUser を参照してください。
