使用 CloudHSM CLI 设置 mTLS 的强制执行级别 - AWS CloudHSM

使用 CloudHSM CLI 设置 mTLS 的强制执行级别

使用 CloudHSM CLI 中的 cluster mtls set-enforcement 命令来设置客户端和 AWS CloudHSM 之间双向 TLS 使用的强制执行级别。

用户类型

以下用户均可运行此命令。

  • 用户名为 admin 的管理员

要求

要运行此命令:

  • 至少有一个信任锚已成功注册到 AWS CloudHSM 上。

  • 使用正确的私有密钥和客户端证书配置 CloudHSM CLI,然后在双向 TLS 连接下启动 CloudHSM CLI。

  • 您必须以用户名为“admin”的默认管理员身份登录。任何其他管理员用户都将无法运行此命令。

语法

aws-cloudhsm > help cluster mtls set-enforcement Set mtls enforcement policy in the cluster Usage: cluster mtls set-enforcement [OPTIONS] --level [<LEVEL>...] Options: --cluster-id <CLUSTER_ID> Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --level <LEVEL> Level to be set for mtls in the cluster [possible values: none, cluster] --approval <APPROVAL> Filepath of signed quorum token file to approve operation -h, --help Print help

示例

在以下示例中,此命令将 AWS CloudHSM 的 mtls 强制执行级别设置为集群。set-enforcement 命令只能在双向 TLS 连接中执行,并以用户名为 admin 的管理员用户身份登录,请参阅 set the mTLS enforcement for AWS CloudHSM

aws-cloudhsm > cluster mtls set-enforcement --level cluster { "error_code": 0, "data": { "message": "Mtls enforcement level set to Cluster successfully" } }

然后,您可以运行 get-enforcement 命令来确认强制执行级别已设置为集群:

aws-cloudhsm > clsuter mtls get-enforcement { "error_code": 0, "data": { "mtls-enforcement-level": "cluster" } }

参数

<CLUSTER_ID>

要运行此操作的集群的 ID。

必需:如果已配置多个集群。

<LEVEL>

要为集群中的 mtls 设置的级别。

有效值

  • cluster:在集群中的客户端与 AWS CloudHSM 之间强制执行双向 TLS 使用。

  • none:不在集群中的客户端与 AWS CloudHSM 之间强制执行双向 TLS 使用。

必需:是

警告

在集群中强制执行 mTLS 使用后,所有现有非 mTLS 连接都将被丢弃,并且您只能使用 mTLS 证书连接到集群。

<APPROVAL>

指定要批准操作的已签名仲裁令牌文件的文件路径。仅当仲裁集群服务仲裁值大于 1 时才需要。

相关 主题