AWS CloudHSM 管理ユーティリティを使用してクォーラムの最小値を変更する - AWS CloudHSM

AWS CloudHSM 管理ユーティリティを使用してクォーラムの最小値を変更する

AWS CloudHSMCrypto Officer (CO) がクォーラム認証を使用できるようにクォーラム最小値を設定した後、クォーラム最小値を変更することができます。承認者の数が現在のクォーラム最小値以上の場合のみ、HSM はクォーラム最小値の変更を許可します。たとえば、クォーラム最小値が 2 の場合、クォーラム最小値を変更するには最低 2 つの CO の承認が必要です。

クォーラム最小値の変更のためにクォーラムの承認を取得する場合、setMValue コマンド (サービス 4) の クォーラムトークン が必要です。setMValue コマンド (サービス 4) のクォーラムトークンを取得するには、サービス 4 のクォーラム最小値を 1 より大きくする必要があります。つまり、CO (サービス 3) のクォーラム最小値を変更するには、サービス 4 のクォーラム最小値の変更が必要になる場合があります。

次の表に、HSM サービス識別子とその名前、説明、およびサービスに含まれるコマンドを示しています。

サービス識別子 サービス名 サービスの説明 HSM コマンド
3 USER_MGMT HSM ユーザー管理

  • createUser

  • deleteUser

  • changePswd (別の HSM ユーザーのパスワードを変更した場合のみ適用されます)
4 MISC_CO その他の CO サービス

  • setMValue
Crypto Officer のクォーラム最小値を変更するには

  1. 次のコマンドを使用して、cloudhsm_mgmt_util コマンドラインツールをスタートします。

    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg

  2. loginHSM コマンドを使用して、CO ユーザーとして HSM にログインします。詳細については、「CloudHSM 管理ユーティリティ (CMU) による HSM ユーザー管理」を参照してください。

  3. getMValue コマンドを使用して、サービス 3 のクォーラム最小値を取得します。詳細については、次の例を参照してください。

  4. getMValue コマンドを使用して、サービス 4 のクォーラム最小値を取得します。詳細については、次の例を参照してください。

  5. サービス 4 のクォーラム最小値がサービス 3 の値より小さい場合、setMValue コマンドを使用してサービス 4 の値を変更します。サービス 4 の値を、サービス 3 の値と同じまたはそれより大きい値に変更します。詳細については、次の例を参照してください。

  6. サービス 4 をトークンを使用できるサービスとして指定するように注意し、クォーラムトークン を取得 します。

  7. 他の CO からの承認 (署名) の取得

  8. HSM でのトークンの承認

  9. setMValue コマンドを使用して、サービス 3 (CO が実行するユーザー管理オペレーション) のクォーラム最小値を変更します。

例 - クォーラム最小値を取得してサービス 4 の値を変更する

次のコマンド例では、サービス 3 のクォーラム最小値が現在 2 であることを示しています。

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

次のコマンド例では、サービス 4 のクォーラム最小値が現在 1 であることを示しています。

aws-cloudhsm>getMValue 4
MValue of service 4[MISC_CO] on server 0 : [1]
MValue of service 4[MISC_CO] on server 1 : [1]

サービス 4 のクォーラム最小値を変更するには、サービス 3 の値と同じがそれより大きい値を設定して setMValue コマンドを使用します。次の例では、サービス 4 のクォーラム最小値をサービス 3 に設定されているのと同じ値である 2 に設定します。

aws-cloudhsm>setMValue 4 2
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
Setting M Value(2) for 4 on 2 nodes

次のコマンド例は、サービス 3 とサービス 4 でクォーラム最小値が現在 2 であることを示しています。

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
aws-cloudhsm>getMValue 4
MValue of service 4[MISC_CO] on server 0 : [2]
MValue of service 4[MISC_CO] on server 1 : [2]