createUser - AWS CloudHSM
ユーザーのタイプ構文引数 関連トピック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

createUser

cloudhsm_mgmt_util の createUser コマンドは、HSM 上にユーザーを作成します。Crypto Officer (CO および PRECO) だけがこのコマンドを実行できます。コマンドが成功すると、クラスター内のすべての HSM にユーザーが作成されます。

HSM 設定が不正確な場合、一部の HSM でユーザーが作成されない場合があります。ユーザーが欠落している HSM にユーザーを追加するには、そのユーザーがいない HSM でのみ syncUser コマンドまたは createUser コマンドを使用します。設定エラーを防ぐには、configureツールを -m オプション付きで実行します。

CMU コマンドを実行する前に CMU を起動し、HSM にログインする必要があります。ログインに使用するユーザータイプで、使用するコマンドを実行できることを確認してください。

HSM を追加または削除する場合は、CMU の設定ファイルを更新します。さもないと、クラスター内のすべての HSM で変更が有効にならない場合があります。

ユーザーのタイプ

このコマンドは、次のタイプのユーザーが実行できます。

  • Crypto Officer (CO、PRECO)

構文

引数は構文の図表で指定された順序で入力します。-hpswd パラメータを使用して、パスワードをマスクします。2 要素認証 (2FA) を使用して CO ユーザーを作成するには、-2fa パラメータを入力し、ファイルパスを含めます。詳細については、「引数」を参照してください。

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]

以下の例では、createUser を使用して HSM に新しいユーザーを作成する方法を示します。

例 : Crypto Officer を作成する

次の例では、クラスター内の HSM に Crypto Officer (CO) を作成します。最初のコマンドは、loginHSM を使用して、Crypto Officer として HSM にログインします。

aws-cloudhsm> loginHSM CO admin 735782961

loginHSM success on server 0(10.0.0.1)
loginHSM success on server 1(10.0.0.2)
loginHSM success on server 1(10.0.0.3)

2 番目のコマンドでは、createUser コマンドを使用して、HSM 上に新しい Crypto Officer である alice を作成します。

注意メッセージは、コマンドがクラスター内のすべての HSM でユーザーを作成することを説明しています。ただし、コマンドがいずれかの HSM で失敗した場合、その HSM にユーザーは存在しません。続行するには、y と入力します。

出力は、クラスター内の 3 つすべての HSM で新しいユーザーが作成されたことを示しています。

aws-cloudhsm> createUser CO alice 391019314

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User alice(CO) on 3 nodes

コマンドが完了すると、alice には、HSM 上のすべてのユーザーのパスワードを変更するなど、admin CO ユーザーと同じ HSM のアクセス許可が与えられます。

最後のコマンドでは、listUsers コマンドを使用して、クラスターの 3 つの HSM すべてに alice が存在することを検証します。出力は、alice にユーザー ID 3 が割り当てられていることも示しています。.ユーザー ID を使用して、 などの他のコマンドaliceで を識別しますfindAllKeys

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
Users on server 1(10.0.0.2):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO

Users on server 1(10.0.0.3):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
例 : Crypto User を作成する

次の例では、HSM に Crypto User (CU)、bob を作成します。Crypto Users はキーを作成して管理することはできますが、ユーザーを管理することはできません。

警告メッセージに「y」と入力して応答すると、クラスター内の 3 つすべての HSM に bob が作成されたことが出力に表示されます。新しい CU は、HSM にログインしてキーを作成および管理できます。

このコマンドでは、パスワード値として defaultPassword を使用しています。その後、bob または他の CO は changePswd コマンドを使用してパスワードを変更できます。

aws-cloudhsm> createUser CU bob defaultPassword

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User bob(CU) on 3 nodes

引数

引数は構文の図表で指定された順序で入力します。-hpswd パラメータを使用して、パスワードをマスクします。2FA を有効にした CO ユーザーを作成するには、-2fa パラメータを入力し、ファイルパスを含めます。2FA の詳細については、「CMU を使用した 2FA の管理」を参照してください。

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]
<user-type>

ユーザーのタイプを指定します。このパラメータは必須です。

HSM のユーザータイプの詳細については、「HSM ユーザーを理解する」を参照してください。

有効値:

  • CO: Crypto officers はユーザーを管理できますが、キーを管理することはできません。

  • CU: Crypto User は、管理キーを作成し、暗号化オペレーションでキーを使用できます。

HSM のアクティベーション 中にパスワードを割り当てると、PRECO は CO に変換されます。

必須: はい

<user-name>

ユーザーのわかりやすい名前を指定します。最大長は 31 文字です。許可されている唯一の特殊文字はアンダースコア (_) です。

ユーザーの作成後にユーザー名を変更することはできません。cloudhsm_mgmt_util コマンドでは、ユーザータイプとパスワードは大文字と小文字が区別されますが、ユーザー名は区別されません。

必須: はい

<password |-hpswd >

ユーザーのパスワードを指定します。7~32 文字の文字列を入力します。この値は大文字と小文字が区別されます。パスワードは、入力するとプレーンテキストで表示されます。パスワードを非表示にするには、-hpswd パラメータをパスワードの代わりに入力し、プロンプトに従います。

ユーザーパスワードを変更するには、changePswd を使用します。HSM ユーザーはすべて自分のパスワードを変更できますが、CO ユーザーは HSM のどのタイプのどのユーザーのパスワードでも変更できます。

必須: はい

[-2fa </path/to/authdata>]

2FA が有効な CO ユーザーの作成を指定します。2FA認証の設定に必要なデータを取得するには、-2fa パラメータの後にファイル名でファイルシステム内の場所へのパスを含めます。2FA のセットアップおよび使用の詳細については、「CMU を使用した 2FA の管理」を参照してください。

必須: いいえ

関連トピック