使用 Cloud 生成法定令牌 HSM CLI - AWS CloudHSM
用户类型语法示例参数相关 主题

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Cloud 生成法定令牌 HSM CLI

使用 Cloud HSM CLI 中的quorum token-sign generate命令为法定人数授权的服务生成令牌。

对于服务用户和法定人数,HSM集群上每个服务的每个用户获取一个活动令牌是有限制的。此限制不适用于与密钥服务相关的令牌。

注意

只有管理员和加密用户才能生成特定的服务令牌。有关服务类型和名称的更多信息,请参阅支持法定身份验证的服务名称和类型

管理员服务:法定身份验证用于管理员特权服务,例如创建用户、删除用户、更改用户密码、设置法定值以及停用法定人数和权能。MFA

加密用户服务:法定身份验证用于与特定密钥关联的加密用户特权服务,例如使用密钥、sharing/unsharing a key, wrapping/unwrapping密钥签名和设置密钥的属性。关联密钥的法定值是在生成、导入或解开密钥时配置的。法定值必须等于或小于与该密钥关联的用户数,其中包括与之共享密钥的用户和密钥所有者。

每个服务类型都进一步细分为限定服务名称,其中包含一组特定的、可执行的仲裁支持服务操作。

服务名称 服务类型 服务操作
用户 Admin

  • user create

  • user delete

  • user change-password

  • user change-mfa
仲裁 Admin

  • 法定代币符号 set-quorum-value
cluster1 Admin

  • 集群 mtls register-trust-anchor

  • 集群 mtls deregister-trust-anchor

  • cluster mtls set-enforcement
密钥管理 加密用户

  • 钥匙包装

  • 密钥解包

  • key share

  • key unshare

  • key set-attribute
密钥用法 加密用户

  • 钥匙标志

[1] 集群服务仅在 hsm2m.medium 上可用

用户类型

以下用户均可运行此命令。

  • Admin

  • 加密用户 (CU)

语法

aws-cloudhsm > help quorum token-sign generate
Generate a token

Usage: quorum token-sign generate --service <SERVICE> --token <TOKEN>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --service <SERVICE>
          Service the token will be used for

          Possible values:
          - user:
            User management service is used for executing quorum authenticated user management operations
          - quorum:
            Quorum management service is used for setting quorum values for any quorum service
          - cluster: 
            Cluster management service is used for executing quorum for cluster wide configuration managements like mtls enforcement, mtls registration and mtls deregistration
          - registration:
            Registration service is used for registering a public key for quorum authentication
          - key-usage:
            Key usage service is used for executing quorum authenticated key usage operations
          - key-management:
            Key management service is used for executing quorum authenticated key management operations

      --token <TOKEN>
          Filepath where the unsigned token file will be written
  -h, --help                     Print help

示例

此命令会将集群HSM中每个未签名的令牌写入到指定的token文件中。

例 : HSM 在你的集群中每人写一个未签名的令牌
aws-cloudhsm > quorum token-sign generate --service user --token /home/tfile
{
  "error_code": 0,
  "data": {
    "filepath": "/home/tfile"
  }
}

参数

<CLUSTER_ID>

要运行此操作的集群的 ID。

必需:如果已配置多个集群。

<SERVICE>

指定要为其生成令牌的仲裁授权服务。此参数为必需参数。

有效值

  • 用户:用于执行仲裁授权用户管理操作的用户管理服务。

  • 仲裁:用于为任何仲裁授权服务设置仲裁授权仲裁值的仲裁管理服务。

  • cluster:用于执行集群范围配置管理(如 mtls 强制执行、mtls 注册和 mtls 取消注册)仲裁的集群管理服务。

  • 注册:生成用于注册仲裁授权公有密钥的未签名令牌。

  • key-us age:生成一个未签名的令牌,用于执行法定人数授权的密钥使用操作。

  • 密钥管理:生成未签名的令牌,用于执行法定人数授权的密钥管理操作。

必需:是

<TOKEN>

将写入未签名令牌文件的文件路径。

必需:是

相关 主题