Crie um AWS CloudHSM usuário com CMU - AWS CloudHSM
Tipo de usuárioSintaxeExemplosArgumentosTópicos relacionados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie um AWS CloudHSM usuário com CMU

Use o createUser comando em cloudhsm_mgmt_util (CMU) para criar um usuário nos módulos de segurança de hardware () no cluster. HSM AWS CloudHSM Somente oficiais de criptografia (COsePRECOs) podem executar esse comando. Quando o comando é bem-sucedido, ele cria o usuário em tudo HSMs no cluster.

Se sua HSM configuração for imprecisa, talvez o usuário não tenha sido criado em todosHSMs. Para adicionar o usuário a qualquer HSMs um que esteja ausente, use o createUsercomando syncUserou somente no HSMs que está faltando esse usuário. Para evitar erros de configuração, execute a ferramenta configure com a opção -m.

Antes de executar qualquer CMU comando, você deve iniciar CMU e fazer login noHSM. Certifique-se de fazer login com o tipo de conta de usuário que possa executar os comandos que você planeja usar.

Se você adicionar ou excluirHSMs, atualize os arquivos de configuração doCMU. Caso contrário, as alterações feitas podem não ser efetivas para todos HSMs no cluster.

Tipo de usuário

Os seguintes tipos de usuários podem executar este comando.

  • Oficiais de criptografia (CO,PRECO)

Sintaxe

Insira os argumentos na ordem especificada no diagrama de sintaxe. Use o parâmetro -hpswd para mascarar sua senha. Para criar um usuário CO com autenticação de dois fatores (2FA), use o parâmetro -2fa e inclua um caminho de arquivo. Para obter mais informações, consulte Argumentos.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]

Exemplos

Esses exemplos mostram como usar createUser para criar novos usuários em seuHSMs.

exemplo : Criar um responsável pela criptografia

Este exemplo cria um oficial de criptografia (CO) HSMs em um cluster. O primeiro comando usa login HSM para fazer login no HSM como oficial de criptografia.

aws-cloudhsm> loginHSM CO admin 735782961

loginHSM success on server 0(10.0.0.1)
loginHSM success on server 1(10.0.0.2)
loginHSM success on server 1(10.0.0.3)

O segundo comando usa o createUser comando para criaralice, um novo oficial de criptografia noHSM.

A mensagem de advertência explica que o comando cria usuários HSMs em todos os do cluster. Mas, se o comando falhar em algumHSMs, o usuário não existirá nelesHSMs. Para continuar, digite y.

A saída mostra que o novo usuário foi criado em todos os três HSMs no cluster.

aws-cloudhsm> createUser CO alice 391019314

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User alice(CO) on 3 nodes

Quando o comando é concluído, alice tem as mesmas permissões do HSM usuário admin CO, incluindo a alteração da senha de qualquer usuário noHSMs.

O comando final usa o listUserscomando para verificar se alice existe em todos os três HSMs no cluster. A saída também mostra que alice é atribuído ao ID de usuário 3.. Você usa o ID do usuário para se identificar alice em outros comandos, como findAllKeys.

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
Users on server 1(10.0.0.2):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO

Users on server 1(10.0.0.3):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
exemplo : criar um usuário de criptografia

Este exemplo cria um usuário criptográfico (UC),bob, noHSM. Os usuários de criptografia podem criar e gerenciar chaves, mas não conseguem gerenciar usuários.

Depois de digitar y para responder à mensagem de advertência, a saída mostra que bob foi criada HSMs em todos os três no cluster. A nova UC pode fazer login no HSM para criar e gerenciar chaves.

O comando usava um valor de senha de defaultPassword. Posteriormente, bob ou qualquer CO pode usar o changePswdcomando para alterar sua senha.

aws-cloudhsm> createUser CU bob defaultPassword

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User bob(CU) on 3 nodes

Argumentos

Insira os argumentos na ordem especificada no diagrama de sintaxe. Use o parâmetro -hpswd para mascarar sua senha. Para criar um usuário CO com 2FA ativado, use o parâmetro -2fa e inclua um caminho de arquivo. Para obter mais informações sobre 2FA, consulte Gerenciar 2FA do usuário.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]
<user-type>

Especifica o tipo de usuário. Esse parâmetro é obrigatório.

Para obter informações detalhadas sobre os tipos de usuário em umHSM, consulteHSMtipos de usuário para o AWS CloudHSM Management Utility.

Valores válidos:

  • CO: Oficiais de criptografia podem gerenciar usuários, mas não conseguem gerenciar chaves.

  • CU: Usuários de criptografia podem criar chaves de gerenciamento e usar chaves em operações criptográficas.

O PRECO é convertido em CO quando você atribui uma senha durante a HSMativação.

Obrigatório: Sim

<user-name>

Especifica um nome amigável para o usuário. O tamanho máximo é de 31 caracteres. O único caractere especial permitido é um sublinhado ( _ ).

Não é possível alterar o nome de um usuário após sua criação. Em comandos da cloudhsm_mgmt_util, o tipo de usuário e a senha diferenciam maiúsculas de minúsculas, mas o nome do usuário não diferencia.

Obrigatório: Sim

<password | -hpswd >

Especifica uma senha para o usuário. Insira uma string de 7 a 32 caracteres. Esse valor diferencia maiúsculas de minúsculas. A senha aparece em texto sem formatação quando você a digita. Para ocultar sua senha, use o parâmetro -hpswd no lugar da senha e siga as instruções.

Para alterar a senha de um usuário, use changePswd. Qualquer HSM usuário pode alterar sua própria senha, mas os usuários CO podem alterar a senha de qualquer usuário (de qualquer tipo) noHSMs.

Obrigatório: Sim

[-2fa </ >path/to/authdata]

Especifica a criação de um usuário CO com 2FA habilitado. Para obter os dados necessários para configurar a autenticação 2FA, inclua um caminho para um local no sistema de arquivos com um nome de arquivo após o parâmetro -2fa. Para obter mais informações sobre como configurar e trabalhar com 2FA, consulte Gerenciar 2FA do usuário.

Obrigatório: Não

Tópicos relacionados