本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用在 AWS CloudHSM 集群中同步用户 CMU
使用 c AWS CloudHSM loudhsm_mgmt_util 中的syncUser命令在集群内的实例之间或克隆的集群之间HSM手动同步加密用户 (CUs) 或加密官员 (COs)。 AWS CloudHSM 不会自动同步用户。通常,您可以在全局模式下管理用户,以便集群HSMs中的所有用户一起更新。syncUser如果意外不同步(例如HSM,由于密码更改),或者您想在克隆的集群之间轮换用户证书,则可能需要使用。克隆集群通常在不同的 AWS 区域创建,以简化全球扩展和灾难恢复流程。
在运行任何CMU命令之前,必须启动CMU并登录HSM。请确保使用可运行您计划使用的命令的用户类型登录。
如果您添加或删除HSMs,请更新的配置文件CMU。否则,您所做的更改可能不会对集群HSMs中的所有人生效。
用户类型
以下类型的用户均可运行此命令。
-
加密员(CO)
先决条件
在开始之前,必须知道源上HSM要与目标同步的用户的身份HSM。user ID
要查找user ID
,请使用listUsers命令列出集群HSMs中的所有用户。
您还需要知道server ID
分配给源和目标的值HSMs,它们显示在启动时由 cloudhsm_mgmt_util 返回的跟踪输出中。它们的分配顺序与它们在配置文件中的HSMs显示顺序相同。
如果您要跨克隆集群进行同步,请按照HSMs跨克隆集群使用中的说明进行操作,并使用新的配置文件CMU初始化 c loudhsm_mgmt_util。
准备好运行时syncUser,HSM通过发出server命令在源系统上进入服务器模式。
语法
由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。
syncUser
<user ID>
<server ID>
示例
运行server命令登录到源系统HSM并进入服务器模式。在这个例子中,我们假设server 0
这是来源HSM。
aws-cloudhsm>
server 0
立即运行 syncUser 命令。在此示例中,我们假设用户6
是要同步的用户,server 1
也是目的地HSM。
server 0> syncUser 6 1
ExtractMaskedObject: 0x0 ! InsertMaskedObject: 0x0 ! syncUser success
参数
由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。
syncUser
<user ID>
<server ID>
- <用户 ID>
-
指定要同步的用户的 ID。您在每个命令中只能指定一个用户。要获取用户的 ID,请使用listUsers。
必需:是
- <服务器 ID>
-
指定要将用户同步HSM到的服务器号。
必需:是