CMU を使用して AWS CloudHSM ユーザーを作成する - AWS CloudHSM

CMU を使用して AWS CloudHSM ユーザーを作成する

cloudhsm_mgmt_util (CMU) の createUser コマンドで、AWS CloudHSM クラスター内のハードウェアセキュリティモジュール (HSM) にユーザーを作成します。Crypto Officer (CO および PRECO) だけがこのコマンドを実行できます。コマンドが成功すると、クラスター内のすべての HSM にユーザーが作成されます。

HSM 設定が不正確な場合、一部の HSM でユーザーが作成されない場合があります。ユーザーが欠落している HSM にユーザーを追加するには、そのユーザーがいない HSM でのみ syncUser コマンドまたは createUser コマンドを使用します。設定エラーを防ぐには、configureツールを -m オプション付きで実行します。

CMU コマンドを実行する前に CMU を起動し、HSM にログインする必要があります。ログインに使用するユーザータイプで、使用するコマンドを実行できることを確認してください。

HSM を追加または削除する場合は、CMU の設定ファイルを更新します。さもないと、クラスター内のすべての HSM で変更が有効にならない場合があります。

ユーザーのタイプ

このコマンドは、次のタイプのユーザーが実行できます。

  • Crypto Officer (CO、PRECO)

構文

引数は構文の図表で指定された順序で入力します。-hpswd パラメータを使用して、パスワードをマスクします。2 要素認証 (2FA) を使用して CO ユーザーを作成するには、-2fa パラメータを入力し、ファイルパスを含めます。詳細については、「引数」を参照してください。

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]

以下の例では、createUser を使用して HSM に新しいユーザーを作成する方法を示します。

例 : Crypto Officer を作成する

次の例では、クラスター内の HSM に Crypto Officer (CO) を作成します。最初のコマンドは、loginHSM を使用して、Crypto Officer として HSM にログインします。

aws-cloudhsm> loginHSM CO admin 735782961 loginHSM success on server 0(10.0.0.1) loginHSM success on server 1(10.0.0.2) loginHSM success on server 1(10.0.0.3)

2 番目のコマンドでは、createUser コマンドを使用して、HSM 上に新しい Crypto Officer である alice を作成します。

注意メッセージは、コマンドがクラスター内のすべての HSM でユーザーを作成することを説明しています。ただし、コマンドがいずれかの HSM で失敗した場合、その HSM にユーザーは存在しません。続行するには、y と入力します。

出力は、クラスター内の 3 つすべての HSM で新しいユーザーが作成されたことを示しています。

aws-cloudhsm> createUser CO alice 391019314 *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User alice(CO) on 3 nodes

コマンドが完了すると、alice には、HSM 上のすべてのユーザーのパスワードを変更するなど、admin CO ユーザーと同じ HSM のアクセス許可が与えられます。

最後のコマンドでは、listUsers コマンドを使用して、クラスターの 3 つの HSM すべてに alice が存在することを検証します。出力は、alice にユーザー ID 3 が割り当てられていることも示しています。.findAllKeys などの他のコマンドでは、このユーザー ID を使用して alice を識別します。

aws-cloudhsm> listUsers Users on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.2): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.3): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO
例 : Crypto User を作成する

次の例では、HSM に Crypto User (CU)、bob を作成します。Crypto User はキーを作成して管理することはできますが、ユーザーを管理することはできません。

警告メッセージに「y」と入力して応答すると、クラスター内の 3 つすべての HSM に bob が作成されたことが出力に表示されます。新しい CU は、HSM にログインしてキーを作成および管理できます。

このコマンドでは、パスワード値として defaultPassword を使用しています。その後、bob または他の CO は changePswd コマンドを使用してパスワードを変更できます。

aws-cloudhsm> createUser CU bob defaultPassword *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User bob(CU) on 3 nodes

引数

引数は構文の図表で指定された順序で入力します。-hpswd パラメータを使用して、パスワードをマスクします。2FA を有効にした CO ユーザーを作成するには、-2fa パラメータを入力し、ファイルパスを含めます。2FA の詳細については、「ユーザー 2FA の管理」を参照してください。

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]
<user-type>

ユーザーのタイプを指定します。このパラメータは必須です。

HSM のユーザータイプの詳細については、「AWS CloudHSM 管理ユーティリティの HSM ユーザータイプ」を参照してください。

有効な値:

  • CO: Crypto officers はユーザーを管理できますが、キーを管理することはできません。

  • CU: Crypto User は、管理キーを作成し、暗号化オペレーションでキーを使用できます。

HSM のアクティベーション 中にパスワードを割り当てると、PRECO は CO に変換されます。

必須: はい

<user-name>

ユーザーのわかりやすい名前を指定します。最大長は 31 文字です。許可されている唯一の特殊文字はアンダースコア (_) です。

ユーザーの作成後にユーザー名を変更することはできません。cloudhsm_mgmt_util コマンドでは、ユーザータイプとパスワードは大文字と小文字が区別されますが、ユーザー名は区別されません。

必須: はい

<password |-hpswd >

ユーザーのパスワードを指定します。7~32 文字の文字列を入力します。この値は大文字と小文字が区別されます。パスワードは、入力するとプレーンテキストで表示されます。パスワードを非表示にするには、-hpswd パラメータをパスワードの代わりに入力し、プロンプトに従います。

ユーザーパスワードを変更するには、changePswd を使用します。HSM ユーザーはすべて自分のパスワードを変更できますが、CO ユーザーは HSM のどのタイプのどのユーザーのパスワードでも変更できます。

必須: はい

[-2fa </path/to/authdata>]

2FA が有効な CO ユーザーの作成を指定します。2FA認証の設定に必要なデータを取得するには、-2fa パラメータの後にファイル名でファイルシステム内の場所へのパスを含めます。2FA のセットアップおよび使用の詳細については、「ユーザー 2FA の管理」を参照してください。

必須:いいえ

関連トピック