CMU を使用して AWS CloudHSM クラスター全体でユーザーを同期する - AWS CloudHSM
ユーザーのタイプ前提条件構文引数関連トピック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CMU を使用して AWS CloudHSM クラスター全体でユーザーを同期する

AWS CloudHSM cloudhsm_mgmt_util の syncUser コマンドを使用して、クラスター内の HSM インスタンス間またはクローンされたクラスター間で Crypto User (CUs) または Crypto Officer (COs) を手動で同期します。 AWS CloudHSM はユーザーを自動的に同期しません。通常、クラスター内の HSM がすべてまとめて更新されるように、ユーザーはグローバルモードで管理します。HSM が誤って同期解除された場合 (たとえば、パスワードの変更など)、またはクローンされたクラスター間でユーザーの認証情報を更新する場合は、syncUser を使用する場合があります。クローンされたクラスターは通常、グローバルスケーリングとディザスタリカバリのプロセスを簡素化するために、異なる AWS リージョンに作成されます。

CMU コマンドを実行する前に CMU を起動し、HSM にログインする必要があります。ログインに使用するユーザータイプで、使用するコマンドを実行できることを確認してください。

HSM を追加または削除する場合は、CMU の設定ファイルを更新します。さもないと、クラスター内のすべての HSM で変更が有効にならない場合があります。

ユーザーのタイプ

このコマンドは、次のタイプのユーザーが実行できます。

  • Crypto Officer (CO)

前提条件

開始する前に、送信先の HSM と同期する送信元 HSM のユーザーの user ID を把握しておく必要があります。user ID を確認するには、listUsers コマンドを使用して、クラスター内の HSM のすべてのユーザーを表示します。

また、cloudhsm_mgmt_util が開始時に返すトレース出力に表示される、出典とデスティネーションの HSM に割り当てられた server ID も知っておく必要があります。これらは、設定ファイルに表示されている HSM と同じ順序で表示されます。

クローンされたクラスター間で HSM を同期する場合は、「クローンされたクラスター間で CMU を使用する」の説明に従って、cloudhsm_mgmt_util を新しい設定ファイルで初期化します。

syncUser を実行する準備ができたら、server コマンドを発行して、送信元 HSM のサーバーモードを入力します。

構文

このコマンドには名前付きパラメータがないため、引数は図表で指定された順序で入力する必要があります。

syncUser <user ID> <server ID>

server コマンドを実行して、送信元 HSM にログインし、サーバーモードを入力します。この例では、server 0 が送信元 HSM であると仮定しています。

aws-cloudhsm> server 0

syncUser コマンドを実行します。この例では、ユーザー 6 が同期対象のユーザー、server 1 が送信先 HSM であると仮定しています。

server 0> syncUser 6 1
ExtractMaskedObject: 0x0 !
InsertMaskedObject: 0x0 !
syncUser success

引数

このコマンドには名前付きパラメータがないため、引数は図表で指定された順序で入力する必要があります。

syncUser <user ID> <server ID>
<user ID>

同期するユーザーの ID を指定します。各コマンドに指定できるユーザーは 1 つのみです。ユーザーの ID を取得するには、listUsers を使用します。

必須: はい

<server ID>

ユーザーを同期している HSM のサーバーの数を指定します。

必須: はい

関連トピック