Ativar o cluster no AWS CloudHSM - AWS CloudHSM

Ativar o cluster no AWS CloudHSM

Ao você ativar um cluster de AWS CloudHSM, o status do cluster muda de inicializado para ativo. Em seguida, é possível gerenciar os usuários do HSM e usar o HSM.

Importante

Antes de ativar o cluster, você deve primeiro copiar o certificado de emissão para o local padrão da plataforma em cada instância do EC2 que se conecta ao cluster (você cria o certificado de emissão ao inicializar o cluster).

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Depois de colocar o certificado de emissão, instale a CLI do CloudHSM e execute o comando cluster activateem seu primeiro HSM. Você notará que a conta de administrador no primeiro HSM em seu cluster tem a função de administrador não ativada. Essa é uma função temporária que só existe antes da ativação do cluster. Quando você ativa seu cluster, a função de administrador não ativado muda para administrador.

Para ativar um cluster

  1. Conecte-se à instância do cliente que você iniciou anteriormente. Para ter mais informações, consulte Iniciar uma instância do Amazon EC2 para interagir com o AWS CloudHSM. Você pode iniciar uma instância do Linux ou um Windows Server.

  2. Execute a CLI do CloudHSM no modo interativo.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\> .\cloudhsm-cli.exe interactive

  3. (Opcional) Use o comando user list para exibir os usuários existentes.

    aws-cloudhsm > user list
{
  "error_code": 0,
  "data": {
    "users": [
      {
        "username": "admin",
        "role": "unactivated-admin",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      },
      {
        "username": "app_user",
        "role": "internal(APPLIANCE_USER)",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      }
    ]
  }
}

  4. Use o comando cluster activate para definir a senha inicial do administrador.

    aws-cloudhsm > cluster activate
Enter password:<NewPassword>
Confirm password:<NewPassword>
{
  "error_code": 0,
  "data": "Cluster activation successful"
}

    Recomendamos anotar a nova senha em uma planilha de senhas. Não perca a planilha. Recomendamos que você imprima uma cópia da planilha de senhas, use-a para registrar as senhas críticas do HSM e armazene-a em um local seguro. Também recomendamos armazenar uma cópia dessa planilha em um local externo seguro.

  5. (Opcional) Use o comando user list para verificar se o tipo de usuário foi alterado para administrador/responsável pela criptografia (CO). 

    aws-cloudhsm > user list
{
  "error_code": 0,
  "data": {
    "users": [
      {
        "username": "admin",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      },
       {
        "username": "app_user",
        "role": "internal(APPLIANCE_USER)",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      }
    ]
  }
}

  6. Use o comando quit para parar a ferramenta CLI do CloudHSM.

    aws-cloudhsm > quit

Para obter mais informações sobre como trabalhar com a CLI do CloudHSM ou a CMU, consulte Entendendo os usuários do HSM e Compreendendo o gerenciamento de usuários do HSM com o CMU.