를 사용하여 AWS CloudHSM 사용자를 키와 연결 CMU - AWS CloudHSM

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 AWS CloudHSM 사용자를 키와 연결 CMU

AWS CloudHSM cloudhsm_mgmt_util의 registerQuorumPubKey 명령을 사용하여 하드웨어 보안 모듈(HSM) 사용자를 비대칭 RSA-2048 키 페어와 연결합니다. HSM 사용자를 키와 연결하면 해당 사용자는 프라이빗 키를 사용하여 쿼럼 요청을 승인할 수 있으며 클러스터는 등록된 퍼블릭 키를 사용하여 서명이 사용자의 서명인지 확인할 수 있습니다. 쿼럼 인증에 대한 자세한 내용은 쿼럼 인증 관리(N의 M 액세스 제어)를 참조하십시오.

작은 정보

AWS CloudHSM 설명서에서 정족수 인증은 때때로 M of N(MofN)으로 지칭되며, 이는 총 N 승인자 수 중 최소 M 승인자 수를 의미합니다.

사용자 유형

다음 사용자 유형이 이 명령을 실행할 수 있습니다.

  • Crypto officers(CO)

구문

이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>

예시

이 예제에서는 쿼럼 인증 요청에 대해 CO(Crypto Officer)를 승인자로 등록하는 데 registerQuorumPubKey를 사용하는 방법을 보여줍니다. 이 명령을 실행하려면 비대칭 RSA-2048 키 페어, 서명된 토큰 및 서명되지 않은 토큰이 있어야 합니다. 이러한 요구 사항에 대한 자세한 내용은 인수 단원을 참조하십시오.

예 : 쿼럼 인증을 위한 HSM 사용자 등록

이 예에서는 quorum_officer이라는 CO를 쿼럼 인증 승인자로 등록합니다.

aws-cloudhsm> registerQuorumPubKey CO <quorum_officer> </path/to/quorum_officer.token> </path/to/quorum_officer.token.sig> </path/to/quorum_officer.pub> *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y registerQuorumPubKey success on server 0(10.0.0.1)

최종 명령은 listUsers 명령을 사용하여 이 MofN 사용자로 등록quorum_officer되었는지 확인합니다.

aws-cloudhsm> listUsers Users on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO quorum_officer YES 0 NO

인수

이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>
<user-type>

사용자 유형을 지정합니다. 이 파라미터는 필수 사항입니다.

의 사용자 유형에 대한 자세한 내용은 섹션을 HSM참조하세요HSM AWS CloudHSM Management Utility의 사용자 유형.

유효값:

  • CO: Crypto officer는 사용자를 관리할 수 있지만 키를 관리할 수는 없습니다.

필수: 예

<user-name>

사용자의 친숙한 이름을 지정합니다. 최대 길이는 31자입니다. 허용되는 유일한 특수 문자는 밑줄( _ )입니다.

사용자를 생성한 후에는 사용자 이름을 변경할 수 없습니다. cloudhsm_mgmt_util 명령에서 사용자 유형과 암호는 대소문자를 구분하지만 사용자 이름은 대소문자를 구분하지 않습니다.

필수 여부: 예

<registration-token>

서명되지 않은 등록 토큰이 포함된 파일의 경로를 지정합니다. 최대 파일 크기가 245바이트인 임의의 데이터를 포함할 수 있습니다. 서명되지 않은 등록 토큰을 만드는 방법에 대한 자세한 내용은 등록 토큰 만들기 및 서명을 참조하십시오.

필수 여부: 예

<signed-registration-token>

등록 토큰의 SHA256_PKCS 메커니즘 서명 해시가 포함된 파일의 경로를 지정합니다. 자세한 내용은 등록 토큰 생성 및 서명을 참조하십시오.

필수 여부: 예

<public-key>

비대칭 RSA-2048 키 페어의 퍼블릭 키가 포함된 파일의 경로를 지정합니다. 프라이빗 키를 사용하여 등록 토큰에 서명합니다. 자세한 내용은 RSA 키 페어 생성을 참조하세요.

필수 여부: 예

참고

클러스터는 쿼럼 인증과 2단계 인증(2FA)에 동일한 키를 사용합니다. 즉, registerQuorumPubKey를 사용하여 2FA를 활성화한 사용자에 대해서는 쿼럼 키를 교체할 수 없습니다. 키를 교체하려면 changePswd를 사용해야 합니다. 쿼럼 인증 및 2FA 사용에 대한 자세한 내용은 쿼럼 인증 및 2FA를 참조하십시오.

관련 주제