AWS CloudHSM 관리 유틸리티를 사용하여 HSM 로그인 및 로그아웃
AWS CloudHSM cloudhsm_mgmt_util에서 loginHSM 및 logoutHSM 명령을 사용하여 클러스터의 각 HSM에 로그인 및 로그아웃합니다. 모든 유형의 사용자는 이러한 명령을 사용할 수 있습니다.
참고
잘못된 로그인 시도 횟수가 5회를 초과하면 계정이 잠깁니다. 계정 잠금을 해제하려면 CO(암호화 관리자)가 cloudhsm_mgmt_util의 changePswd 명령을 사용하여 암호를 재설정해야 합니다.
이러한 cloudhsm_mgmt_util 명령을 실행하기 전에 cloudhsm_mgmt_util을 시작해야 합니다.
HSM을 추가하거나 삭제하는 경우 AWS CloudHSM 클라이언트와 명령줄 도구가 사용하는 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다.
클러스터에 HSM이 둘 이상인 경우 계정이 잠기기 전에 잘못된 로그인 시도가 추가로 허용될 수 있습니다. 이는 CloudHSM 클라이언트가 다양한 HSM 간에 로드 균형을 조정하기 때문입니다. 따라서 매번 동일한 HSM에서 로그인 시도가 시작되지 않을 수 있습니다. 이 기능을 테스트하는 경우 활성화된 HSM이 하나 뿐인 클러스터에서 수행하는 것이 좋습니다.
2018년 2월 이전에 클러스터를 만든 경우 로그인 시도가 20회 실패한 후에 계정이 잠깁니다.
사용자 유형
다음 사용자가 이러한 명령을 실행할 수 있습니다.
-
PRESCO(Precrypto Officer)
-
CO(Crypto Officer)
-
CU(Crypto User)
구문
구문 다이어그램에 지정된 순서대로 인수를 입력합니다. -hpswd
파라미터를 사용하여 암호를 숨길 수 있습니다. 2단계 인증(2FA)으로 로그인하려면 -2fa
파라미터를 사용하고 파일 경로를 포함하십시오. 자세한 내용은 인수 섹션을 참조하세요.
loginHSM <
user-type
> <user-name
> <password
|-hpswd> [-2fa </path/to/authdata
>]
logoutHSM
예시
이러한 예제에서는 loginHSM 및 logoutHSM을 사용하여 클러스터의 모든 HSM에 로그인/로그아웃하는 방법을 보여줍니다.
예 : 클러스터의 HSM에 로그인
이 명령은 자격 증명으로 CO 사용자 admin
및 암호 co12345
를 사용하여 클러스터의 모든 HSM에 로그인합니다. 이 출력은 명령이 성공적으로 수행되었으며 사용자가 HSM(이 경우, server 0
및 server 1
)에 연결되었음을 보여줍니다.
aws-cloudhsm>
loginHSM CO admin co12345
loginHSM success on server 0(10.0.2.9) loginHSM success on server 1(10.0.3.11)
예 : 숨겨진 암호로 로그인
이 명령은 시스템이 암호를 숨기도록 지정한다는 점을 제외하면 위의 예와 동일합니다.
aws-cloudhsm>
loginHSM CO admin -hpswd
시스템이 암호를 묻는 메시지를 표시합니다. 암호를 입력하면 시스템은 암호를 숨기며 출력에는 명령이 성공했고 HSM에 연결되었다는 메시지가 표시됩니다.
Enter password:
loginHSM success on server 0(10.0.2.9) loginHSM success on server 1(10.0.3.11)
aws-cloudhsm>
예 : HSM에서 로그아웃
이 명령은 현재 로그인되어 있는 HSM(이 경우, server 0
및 server 1
)에서 로그아웃합니다. 이 출력은 명령이 성공적으로 수행되었고 사용자가 HSM에서 연결 해제되었음을 보여줍니다.
aws-cloudhsm>
logoutHSM
logoutHSM success on server 0(10.0.2.9) logoutHSM success on server 1(10.0.3.11)
인수
구문 다이어그램에 지정된 순서대로 인수를 입력합니다. -hpswd
파라미터를 사용하여 암호를 숨길 수 있습니다. 2단계 인증(2FA)으로 로그인하려면 -2fa
파라미터를 사용하고 파일 경로를 포함하십시오. 2FA 작업에 대한 자세한 내용은 사용자 2FA 관리 섹션을 참조하세요.
loginHSM <
user-type
> <user-name
> <password
|-hpswd> [-2fa </path/to/authdata
>]
- <user type>
-
HSM에 로그인 중인 사용자의 유형을 지정합니다. 자세한 내용은 위의 사용자 유형을 참조하십시오.
필수 항목 여부: 예
- <user name>
-
HSM에 로그인 중인 사용자의 사용자 이름을 지정합니다.
필수 항목 여부: 예
- <password | -hpswd >
-
HSM에 로그인 중인 사용자의 암호를 지정합니다. 암호를 숨기려면 암호 대신
-hpswd
파라미터를 사용하고 프롬프트를 따르십시오.필수 항목 여부: 예
- [-2fa </path/to/authdata>]
-
시스템이 두 번째 요소를 사용하여 이 2FA 지원 CO 사용자를 인증하도록 지정합니다. 2FA로 로그인하는 데 필요한 데이터를 가져오려면
-2fa
파라미터 뒤에 파일 이름이 있는 파일 시스템의 위치에 대한 경로를 포함시키십시오. 2FA 작업에 대한 자세한 내용은 사용자 2FA 관리 섹션을 참조하십시오.필수 항목 여부: 아니요