CloudHSM CLI를 사용하여 쿼럼 토큰 생성 - AWS CloudHSM
사용자 유형구문인수관련 주제

CloudHSM CLI를 사용하여 쿼럼 토큰 생성

CloudHSM CLI의 quorum token-sign generate 명령을 사용하여 쿼럼 인증 서비스를 위한 토큰을 생성합니다.

서비스 사용자 및 쿼럼을 위한 HSM 클러스터의 서비스당 사용자당 하나의 활성 토큰을 획득하는 데에는 제한이 있습니다.

참고

관리자만 서비스 토큰을 생성할 수 있습니다.

관리 서비스: 쿼럼 인증은 사용자 생성, 사용자 삭제, 사용자 비밀번호 변경, 쿼럼 값 설정, 쿼럼 및 MFA 기능 비활성화와 같은 관리자 권한 서비스에 사용됩니다.

각 서비스 유형은 수행할 수 있는 특정 쿼럼 지원 서비스 작업 세트를 포함하는 적격 서비스 이름으로 더 세분화됩니다.

서비스 이름 서비스 유형 서비스 작업
사용자 관리자

  • 사용자 생성

  • 사용자 삭제

  • 사용자-암호 변경

  • 사용자 변경-mfa
쿼럼 관리자

  • 쿼럼 토큰-서명 설정-쿼럼-값
cluster1 관리자

  • cluster mtls register-trust-anchor

  • cluster mtls deregister-trust-anchor

  • cluster mtls set-enforcement

[1] 클러스터 서비스는 hsm2m.medium에서만 사용할 수 있습니다

사용자 유형

다음 사용자가 이 명령을 실행할 수 있습니다.

  • 관리자

  • CU(Crypto User)

구문

aws-cloudhsm > help quorum token-sign generate
Generate a token

Usage: quorum token-sign generate --service <SERVICE> --token <TOKEN>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --service <SERVICE>
          Service the token will be used for

          Possible values:
          - user:
            User management service is used for executing quorum authenticated user management operations
          - quorum:
            Quorum management service is used for setting quorum values for any quorum service
          - cluster: 
            Cluster management service is used for executing quorum for cluster wide configuration managements like mtls enforcement, mtls registration and mtls deregistration
          - registration:
            Registration service is used for registering a public key for quorum authentication

      --token <TOKEN>
          Filepath where the unsigned token file will be written
  -h, --help                     Print help

이 명령은 클러스터의 HSM당 서명되지 않은 토큰 하나를 token으로 지정된 파일에 기록합니다.

예 : 클러스터의 HSM당 사인서명되지 않은 토큰 하나를 작성합니다.
aws-cloudhsm > quorum token-sign generate --service user --token /home/tfile
{
  "error_code": 0,
  "data": {
    "filepath": "/home/tfile"
  }
}

인수

<CLUSTER_ID>

이 작업을 실행할 클러스터의 ID입니다.

필수: 여러 클러스터가 구성된 경우.

<SERVICE>

토큰을 생성할 쿼럼 인증 서비스를 지정합니다. 이 파라미터는 필수 사항입니다.

유효값

  • 사용자: 쿼럼의 승인된 사용자 관리 작업을 실행하는 데 사용되는 사용자 관리 서비스입니다.

  • 쿼럼: 모든 쿼럼 인증 서비스에 대해 쿼럼 인증 쿼럼 값을 설정하는 데 사용되는 쿼럼 관리 서비스입니다.

  • 클러스터: mtls 적용, mtls 등록 및 mtls 등록 취소와 같은 클러스터 전체 구성 관리에 대한 쿼럼을 실행하는 데 사용되는 클러스터 관리 서비스입니다.

  • 등록: 쿼럼 인증을 위한 공개 키를 등록하는 데 사용할 사인되지 않은 토큰을 생성합니다.

필수 항목 여부:

<TOKEN>

서명되지 않은 토큰 파일이 작성되는 파일 경로입니다.

필수 항목 여부:

관련 주제