使用 CMU 跨 AWS CloudHSM 集群同步用户
使用 AWS CloudHSM cloudhsm_mgmt_util 中的 syncUser 命令跨集群中的 HSM 实例或跨克隆的集群手动同步加密用户(CU)或加密员(CO)。AWS CloudHSM 不会自动同步用户。通常,您以全局模式管理用户,以便集群中的所有 HSM 一起更新。如果 HSM 意外不同步(例如,由于密码更改)或者您希望在克隆的集群之间轮换用户凭证,则可能需要使用 syncUser。克隆的集群通常是在不同的 AWS 区域创建的,以简化全局扩展和灾难恢复过程。
在运行任何 CMU 命令之前,必须启动 CMU 并登录 HSM。请确保使用可运行您计划使用的命令的用户类型登录。
如果您要添加或删除 HSM,请更新 CMU 的配置文件。否则,您所做的更改可能不会对集群中的所有 HSM 生效。
用户类型
以下类型的用户均可运行此命令。
-
加密员(CO)
先决条件
在开始之前,您必须知道要与目标 HSM 同步的源 HSM 上的用户的 user ID
。要查找 user ID
,请使用 listUsers 命令以列出集群中的 HSM 上的所有用户。
您还需要知道分配给源和目标 HSM 的 server ID
,这些值显示在 cloudhsm_mgmt_util 启动时返回的跟踪输出中。这些分配的顺序与 HSM 在配置文件中显示的顺序相同。
如果要跨克隆的集群同步 HSM,请按照跨克隆的集群使用 CMU Across Cloned Clusters 中的说明进行操作,并使用新的配置文件初始化 cloudhsm_mgmt_util。
当您准备好运行 syncUser 时,通过发出 server 命令在源 HSM 上进入服务器模式。
语法
由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。
syncUser
<user ID>
<server ID>
示例
运行 server 命令登录到源 HSM,并进入服务器模式。对于此示例,我们假设 server 0
是源 HSM。
aws-cloudhsm>
server 0
立即运行 syncUser 命令。对于此示例,我们假定用户 6
是要同步的用户,server 1
是目标 HSM。
server 0> syncUser 6 1
ExtractMaskedObject: 0x0 ! InsertMaskedObject: 0x0 ! syncUser success
参数
由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。
syncUser
<user ID>
<server ID>
- <用户 ID>
-
指定要同步的用户的 ID。您在每个命令中只能指定一个用户。要获取用户的 ID,请使用 listUsers。
必需:是
- <服务器 ID>
-
指定要将用户同步到的 HSM 的服务器编号。
必需:是