Crie um AWS CloudHSM usuário com CMU - AWS CloudHSM
Tipo de usuárioSintaxeExemplosArgumentosTópicos relacionados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie um AWS CloudHSM usuário com CMU

Use o createUser comando em cloudhsm_mgmt_util (CMU) para criar um usuário nos módulos de segurança de hardware (HSM) no cluster. AWS CloudHSM Somente oficiais de criptografia (COs e PRECOs) podem executar esse comando. Quando o comando é bem-sucedido, ele cria o usuário em tudo HSMs no cluster.

Se a configuração do HSM for imprecisa, talvez o usuário não tenha sido criado em todos. HSMs Para adicionar o usuário a qualquer HSMs um que esteja ausente, use o comando SyncUser ou CreateUser somente HSMs nos que estão faltando esse usuário. Para evitar erros de configuração, execute a ferramenta configure com a opção -m.

Antes de executar qualquer comando da CMU, você deve iniciar a CMU e fazer login no HSM. Certifique-se de fazer login com o tipo de conta de usuário que possa executar os comandos que você planeja usar.

Se você adicionar ou excluir HSMs, atualize os arquivos de configuração do CMU. Caso contrário, as alterações feitas podem não ser efetivas para todos HSMs no cluster.

Tipo de usuário

Os seguintes tipos de usuários podem executar este comando.

  • Responsáveis pela criptografia (CO, PRECO)

Sintaxe

Insira os argumentos na ordem especificada no diagrama de sintaxe. Use o parâmetro -hpswd para mascarar sua senha. Para criar um usuário CO com autenticação de dois fatores (2FA), use o parâmetro -2fa e inclua um caminho de arquivo. Para obter mais informações, consulte Argumentos.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]

Exemplos

Esses exemplos mostram como usar createUser para criar novos usuários em seu HSMs.

exemplo : Criar um responsável pela criptografia

Este exemplo cria um oficial de criptografia (CO) HSMs em um cluster. O primeiro comando usa loginHSM para fazer login no HSM como um oficial de criptografia.

aws-cloudhsm> loginHSM CO admin 735782961

loginHSM success on server 0(10.0.0.1)
loginHSM success on server 1(10.0.0.2)
loginHSM success on server 1(10.0.0.3)

O segundo comando usa o comando createUser para criar alice, um novo responsável pela criptografia no HSM.

A mensagem de advertência explica que o comando cria usuários HSMs em todos os do cluster. Mas, se o comando falhar em algum HSMs, o usuário não existirá neles HSMs. Para continuar, digite y.

A saída mostra que o novo usuário foi criado em todos os três HSMs no cluster.

aws-cloudhsm> createUser CO alice 391019314

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User alice(CO) on 3 nodes

Quando o comando é concluído, alice tem as mesmas permissões no HSM que o usuário admin CO, incluindo a alteração da senha de qualquer usuário no. HSMs

O comando final usa o comando ListUsers para verificar se alice existe em todos os três HSMs no cluster. A saída também mostra que alice é atribuído ao ID de usuário 3.. Você usa o ID do usuário para se identificar alice em outros comandos, como findAllKeys.

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
Users on server 1(10.0.0.2):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO

Users on server 1(10.0.0.3):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
exemplo : Criar um usuário de criptografia

Este exemplo cria um usuário de criptografia (CU), bob, no HSM. Os usuários de criptografia podem criar e gerenciar chaves, mas não conseguem gerenciar usuários.

Depois de digitar y para responder à mensagem de advertência, a saída mostra que bob foi criada HSMs em todos os três no cluster. O novo CU pode fazer login no HSM para criar e gerenciar chaves.

O comando usava um valor de senha de defaultPassword. Mais tarde, bob ou qualquer CO pode usar o comando changePswd para alterar sua senha.

aws-cloudhsm> createUser CU bob defaultPassword

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User bob(CU) on 3 nodes

Argumentos

Insira os argumentos na ordem especificada no diagrama de sintaxe. Use o parâmetro -hpswd para mascarar sua senha. Para criar um usuário CO com 2FA ativado, use o parâmetro -2fa e inclua um caminho de arquivo. Para obter mais informações sobre 2FA, consulte Gerenciar a 2FA para usuários.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]
<user-type>

Especifica o tipo de usuário. Esse parâmetro é obrigatório.

Para obter informações detalhadas sobre os tipos de usuários em um HSM, consulte Tipos de usuário do HSM para o AWS CloudHSM Management Utility.

Valores válidos:

  • CO: Oficiais de criptografia podem gerenciar usuários, mas não conseguem gerenciar chaves.

  • CU: Usuários de criptografia podem criar chaves de gerenciamento e usar chaves em operações criptográficas.

O PRECO é convertido em um CO quando você atribui uma senha durante a ativação do HSM.

Obrigatório: sim

<user-name>

Especifica um nome amigável para o usuário. O tamanho máximo é de 31 caracteres. O único caractere especial permitido é um sublinhado ( _ ).

Não é possível alterar o nome de um usuário após sua criação. Em comandos da cloudhsm_mgmt_util, o tipo de usuário e a senha diferenciam maiúsculas de minúsculas, mas o nome do usuário não diferencia.

Obrigatório: sim

<password | ‐hpswd >

Especifica uma senha para o usuário. Insira uma string de 7 a 32 caracteres. Esse valor diferencia maiúsculas de minúsculas. A senha aparece em texto sem formatação quando você a digita. Para ocultar sua senha, use o parâmetro -hpswd no lugar da senha e siga as instruções.

Para alterar uma senha de usuário, use changePswd. Qualquer usuário do HSM pode alterar sua própria senha, mas os usuários de CO podem alterar a senha de qualquer usuário (de qualquer tipo) no HSMs.

Obrigatório: sim

[-2fa </ >path/to/authdata]

Especifica a criação de um usuário CO com 2FA habilitado. Para obter os dados necessários para configurar a autenticação 2FA, inclua um caminho para um local no sistema de arquivos com um nome de arquivo após o parâmetro -2fa. Para obter mais informações sobre como configurar e trabalhar com 2FA, consulte Gerenciar a 2FA para usuários.

Obrigatório: não

Tópicos relacionados