를 사용하여 AWS CloudHSM 사용자 생성 CMU - AWS CloudHSM
사용자 유형구문예시인수관련 주제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 AWS CloudHSM 사용자 생성 CMU

cloudhsm_mgmt_util(CMU)의 createUser 명령을 사용하여 AWS CloudHSM 클러스터의 하드웨어 보안 모듈(HSM)에서 사용자를 생성합니다. 암호화 책임자(COs 및 PRECOs)만 이 명령을 실행할 수 있습니다. 명령이 성공하면 HSMs 클러스터의 모든 에 사용자를 생성합니다.

HSM 구성이 정확하지 않으면 모든 에서 사용자가 생성되지 않을 수 있습니다HSMs. 누락된 HSMs 에 사용자를 추가하려면 해당 사용자가 HSMs 누락된 에서만 syncUser 또는 createUser 명령을 사용합니다. 구성 오류를 방지하려면 옵션과 함께 구성 도구를 실행하십시오. -m

CMU 명령을 실행하기 전에 를 시작하고 에 CMU 로그인해야 합니다HSM. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다.

를 추가하거나 삭제하는 경우 에 대한 구성 파일을 HSMs업데이트합니다CMU. 그렇지 않으면 클러스터의 모든 에 대해 변경 사항이 적용되지 않을 수 HSMs 있습니다.

사용자 유형

다음 사용자 유형이 이 명령을 실행할 수 있습니다.

  • Crypto 임원(CO, PRECO)

구문

구문 다이어그램에 지정된 순서대로 인수를 입력합니다. -hpswd 파라미터를 사용하여 암호를 숨길 수 있습니다. 2단계 인증 (2FA) 을 사용하는 CO 사용자를 만들려면 -2fa 매개변수를 사용하고 파일 경로를 포함하세요. 자세한 내용은 인수 단원을 참조하십시오.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]

예시

이 예제에서는 를 createUser 사용하여 에서 새 사용자를 생성하는 방법을 보여줍니다HSMs.

예 : crypto officer 생성

이 예제에서는 클러스터HSMs의 에 암호화 책임자(CO)를 생성합니다. 첫 번째 명령은 로그인HSM을 사용하여 에 암호화 책임자HSM로 로그인합니다.

aws-cloudhsm> loginHSM CO admin 735782961

loginHSM success on server 0(10.0.0.1)
loginHSM success on server 1(10.0.0.2)
loginHSM success on server 1(10.0.0.3)

두 번째 명령은 createUser 명령을 사용하여 에서 새 암호화 책임자alice인 를 생성합니다HSM.

주의 메시지는 명령이 클러스터의 모든 HSMs 에 사용자를 생성한다는 것을 설명합니다. 그러나 에서 명령이 실패하면 HSMs해당 에 사용자가 존재하지 않습니다HSMs. 계속하려면 y를 입력합니다.

출력은 HSMs 클러스터의 세 개 모두에서 새 사용자가 생성되었음을 보여줍니다.

aws-cloudhsm> createUser CO alice 391019314

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User alice(CO) on 3 nodes

명령이 완료되면 alice는 에서 사용자의 암호를 변경하는 것을 포함하여 admin CO 사용자HSM와 동일한 권한을 에 부여합니다HSMs.

최종 명령은 listUsers 명령을 사용하여 이 클러스터의 세 개 모두에 alice 존재하는HSMs지 확인합니다. 출력은 alice에게 사용자 ID 3이 할당되었다는 것도 보여 줍니다.. 사용자 ID를 사용하여 와 같은 다른 명령alice에서 를 식별합니다findAllKeys.

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
Users on server 1(10.0.0.2):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO

Users on server 1(10.0.0.3):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
예 : crypto user 생성

이 예제에서는 bob에 암호화 사용자(CU) 를 생성합니다HSM. crypto user는 키를 생성하고 관리할 수 있지만 사용자를 관리할 수는 없습니다.

주의 메시지에 응답y하기 위해 를 입력하면 출력은 클러스터HSMs의 세 개 모두에서 bob 생성된 를 표시합니다. 새 CU는 HSM에 로그인하여 키를 생성하고 관리할 수 있습니다.

이 명령에서 사용한 암호 값은 defaultPassword입니다. 나중에 bob 또는 CO가 changePswd 명령을 사용하여 암호를 변경할 수 있습니다.

aws-cloudhsm> createUser CU bob defaultPassword

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User bob(CU) on 3 nodes

인수

구문 다이어그램에 지정된 순서대로 인수를 입력합니다. -hpswd 파라미터를 사용하여 암호를 숨길 수 있습니다. 2FA가 활성화된 CO 사용자를 생성하려면 -2fa 매개변수를 사용하고 파일 경로를 포함하십시오. 2FA에 대한 자세한 내용은 사용자 2FA 관리 단원을 참조하세요.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]
<user-type>

사용자 유형을 지정합니다. 이 파라미터는 필수 사항입니다.

의 사용자 유형에 대한 자세한 내용은 섹션을 HSM참조하세요HSM AWS CloudHSM Management Utility의 사용자 유형.

유효값:

  • CO: Crypto officer는 사용자를 관리할 수 있지만 키를 관리할 수는 없습니다.

  • CU: crypto user는 키를 관리하고 암호화 작업에서 키를 사용할 수 있습니다.

HSM 활성화 중에 암호를 할당하면 가 CO로 변환PRECO됩니다.

필수 여부: 예

<user-name>

사용자의 친숙한 이름을 지정합니다. 최대 길이는 31자입니다. 허용되는 유일한 특수 문자는 밑줄( _ )입니다.

사용자를 생성한 후에는 사용자 이름을 변경할 수 없습니다. cloudhsm_mgmt_util 명령에서 사용자 유형과 암호는 대소문자를 구분하지만 사용자 이름은 대소문자를 구분하지 않습니다.

필수 여부: 예

<password | -hpswd >

사용자의 암호를 지정합니다. 7~32자의 문자열을 입력합니다. 이 값은 대소문자를 구분합니다. 암호를 입력하면 일반 텍스트로 암호가 나타납니다. 암호를 숨기려면 암호 대신 -hpswd 파라미터를 사용하고 표시되는 프롬프트를 따르십시오.

사용자 암호를 변경하려면 를 사용합니다changePswd. 모든 HSM 사용자는 자체 암호를 변경할 수 있지만 CO 사용자는 에서 모든 사용자(모든 유형)의 암호를 변경할 수 있습니다HSMs.

필수 여부: 예

[-2fa </path/to/authdata>]

2FA가 활성화된 CO 사용자 생성을 지정합니다. 2FA 인증을 설정하는 데 필요한 데이터를 가져오려면 파일 시스템의 특정 위치에 대한 경로를 매개변수 뒤에 파일 이름과 함께 포함시키십시오. -2fa 2FA로 작업 및 설정하는 법에 대한 자세한 내용은 사용자 2FA 관리 단원을 참조하십시오.

필수 여부: 아니요

관련 주제