createUser - AWS CloudHSM
Tipo de usuárioSintaxeExemplosArgumentosTópicos relacionados da

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

createUser

O comando createUser na cloudhsm_mgmt_util cria um usuário nos HSMs. Somente responsáveis pela criptografia (COs e PRECOs) podem executar esse comando. Quando o comando é bem-sucedido, ele cria o usuário em todos os HSMs no cluster.

No entanto, se sua configuração do HSM estiver imprecisa, o usuário talvez não seja criado em todos os HSMs. Para adicionar o usuário a qualquer HSM em que ele esteja faltando, use o comando syncUser ou createUser apenas nos HSMs que não têm esse usuário. Para evitar erros de configuração, execute a ferramenta configure com a opção -m.

Antes de executar qualquer comando da CMU, você deve iniciar a CMU e fazer login no HSM. Certifique-se de fazer login com o tipo de conta de usuário que possa executar os comandos que você planeja usar.

Se adicionar ou excluir HSMs, atualize os arquivos de configuração do CMU. Caso contrário, as alterações que você fizer podem não ser efetivas em todos os HSMs no cluster.

Tipo de usuário

Os seguintes tipos de usuários podem executar este comando.

  • Responsáveis pela criptografia (CO, PRECO)

Sintaxe

Insira os argumentos na ordem especificada no diagrama de sintaxe. Use o parâmetro -hpswd para mascarar sua senha. Para criar um usuário CO com autenticação de dois fatores (2FA), use o parâmetro -2fa e inclua um caminho de arquivo. Para ter mais informações, consulte Argumentos.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]

Exemplos

Estes exemplos mostram como usar createUser para criar novos usuários em seus HSMs.

exemplo : Criar um responsável pela criptografia

Este exemplo cria um responsável pela criptografia (CO) nos HSMs em um cluster. O primeiro comando usa loginHSM para fazer login no HSM como um oficial de criptografia.

aws-cloudhsm> loginHSM CO admin 735782961

loginHSM success on server 0(10.0.0.1)
loginHSM success on server 1(10.0.0.2)
loginHSM success on server 1(10.0.0.3)

O segundo comando usa o comando createUser para criar alice, um novo responsável pela criptografia no HSM.

A mensagem de precaução explica que o comando cria usuários em todos os HSMs no cluster. Porém, se o comando falhar em qualquer HSM, o usuário não existirá nesses HSMs. Para continuar, digite y.

A saída mostra que o novo usuário foi criado nos três HSMs do cluster.

aws-cloudhsm> createUser CO alice 391019314

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User alice(CO) on 3 nodes

Quando o comando é concluído, alice tem as mesmas permissões no HSM que o usuário CO admin, incluindo a alteração da senha de qualquer usuário nos HSMs.

O comando final usa o comando listUsers para verificar se alice existe nos três HSMs no cluster. A saída também mostra que alice é atribuído ao ID de usuário 3.. Você usa o ID do usuário para se identificar alice em outros comandos, como findAllKeys.

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
Users on server 1(10.0.0.2):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO

Users on server 1(10.0.0.3):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
exemplo : Criar um usuário de criptografia

Este exemplo cria um usuário de criptografia (CU), bob, no HSM. Os usuários de criptografia podem criar e gerenciar chaves, mas não conseguem gerenciar usuários.

Depois de digitar y para responder à mensagem de precaução, a saída mostra que bob foi criado nos três HSMs no cluster. O novo CU pode fazer login no HSM para criar e gerenciar chaves.

O comando usava um valor de senha de defaultPassword. Mais tarde, bob ou qualquer CO pode usar o comando changePswd para alterar sua senha.

aws-cloudhsm> createUser CU bob defaultPassword

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User bob(CU) on 3 nodes

Argumentos

Insira os argumentos na ordem especificada no diagrama de sintaxe. Use o parâmetro -hpswd para mascarar sua senha. Para criar um usuário CO com 2FA ativado, use o parâmetro -2fa e inclua um caminho de arquivo. Para obter mais informações sobre 2FA, consulte Usando a CMU para gerenciar 2FA.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]
<user-type>

Especifica o tipo de usuário. Esse parâmetro é obrigatório.

Para obter informações detalhadas sobre os tipos de usuários em um HSM, consulte Noções básicas sobre usuários do HSM.

Valores válidos:

  • CO: Oficiais de criptografia podem gerenciar usuários, mas não conseguem gerenciar chaves.

  • CU: Usuários de criptografia podem criar chaves de gerenciamento e usar chaves em operações criptográficas.

O PRECO é convertido em um CO quando você atribui uma senha durante a ativação do HSM.

Obrigatório: Sim

<user-name>

Especifica um nome amigável para o usuário. O tamanho máximo é de 31 caracteres. O único caractere especial permitido é um sublinhado ( _ ).

Não é possível alterar o nome de um usuário após sua criação. Em comandos da cloudhsm_mgmt_util, o tipo de usuário e a senha diferenciam maiúsculas de minúsculas, mas o nome do usuário não diferencia.

Obrigatório: Sim

<password | -hpswd >

Especifica uma senha para o usuário. Insira uma string de 7 a 32 caracteres. Esse valor diferencia maiúsculas de minúsculas. A senha aparece em texto sem formatação quando você a digita. Para ocultar sua senha, use o parâmetro -hpswd no lugar da senha e siga as instruções.

Para alterar uma senha de usuário, use changePswd. Qualquer usuário do HSM pode alterar sua própria senha, mas os usuários CO podem alterar a senha de qualquer usuário (de qualquer tipo) nos HSMs.

Obrigatório: Sim

[-2fa </path/to/authdata>]

Especifica a criação de um usuário CO com 2FA habilitado. Para obter os dados necessários para configurar a autenticação 2FA, inclua um caminho para um local no sistema de arquivos com um nome de arquivo após o parâmetro -2fa. Para obter mais informações sobre como configurar e trabalhar com 2FA, consulte Usando a CMU para gerenciar 2FA.

Obrigatório: não

Tópicos relacionados da