使用在 AWS CloudHSM 集群中同步用户 CMU - AWS CloudHSM

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用在 AWS CloudHSM 集群中同步用户 CMU

使用 c AWS CloudHSM loudhsm_mgmt_util 中的syncUser命令在集群内的实例之间或克隆的集群之间HSM手动同步加密用户 (CUs) 或加密官员 (COs)。 AWS CloudHSM 不会自动同步用户。通常,您可以在全局模式下管理用户,以便集群HSMs中的所有用户一起更新。syncUser如果意外不同步(例如HSM,由于密码更改),或者您想在克隆的集群之间轮换用户证书,则可能需要使用。克隆集群通常在不同的 AWS 区域创建,以简化全球扩展和灾难恢复流程。

在运行任何CMU命令之前,必须启动CMU并登录HSM。请确保使用可运行您计划使用的命令的用户类型登录。

如果您添加或删除HSMs,请更新的配置文件CMU。否则,您所做的更改可能不会对集群HSMs中的所有人生效。

用户类型

以下类型的用户均可运行此命令。

  • 加密员(CO)

先决条件

在开始之前,必须知道源上HSM要与目标同步的用户的身份HSM。user ID要查找user ID,请使用listUsers命令列出集群HSMs中的所有用户。

您还需要知道server ID分配给源和目标的值HSMs,它们显示在启动时由 cloudhsm_mgmt_util 返回的跟踪输出中。它们的分配顺序与它们在配置文件中的HSMs显示顺序相同。

如果您要跨克隆集群进行同步,请按照HSMs跨克隆集群使用中的说明进行操作,并使用新的配置文件CMU初始化 c loudhsm_mgmt_util。

准备好运行时syncUser,HSM通过发出server命令在源系统上进入服务器模式。

语法

由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。

syncUser <user ID> <server ID>

示例

运行server命令登录到源系统HSM并进入服务器模式。在这个例子中,我们假设server 0这是来源HSM。

aws-cloudhsm> server 0

立即运行 syncUser 命令。在此示例中,我们假设用户6是要同步的用户,server 1也是目的地HSM。

server 0> syncUser 6 1 ExtractMaskedObject: 0x0 ! InsertMaskedObject: 0x0 ! syncUser success

参数

由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。

syncUser <user ID> <server ID>
<用户 ID>

指定要同步的用户的 ID。您在每个命令中只能指定一个用户。要获取用户的 ID,请使用listUsers

必需:是

<服务器 ID>

指定要将用户同步HSM到的服务器号。

必需:是

相关 主题