使用 CMU 跨 AWS CloudHSM 集群同步用户 - AWS CloudHSM

使用 CMU 跨 AWS CloudHSM 集群同步用户

使用 AWS CloudHSM cloudhsm_mgmt_util 中的 syncUser 命令跨集群中的 HSM 实例或跨克隆的集群手动同步加密用户(CU)或加密员(CO)。AWS CloudHSM 不会自动同步用户。通常,您以全局模式管理用户,以便集群中的所有 HSM 一起更新。如果 HSM 意外不同步(例如,由于密码更改)或者您希望在克隆的集群之间轮换用户凭证,则可能需要使用 syncUser。克隆的集群通常是在不同的 AWS 区域创建的,以简化全局扩展和灾难恢复过程。

在运行任何 CMU 命令之前,必须启动 CMU 并登录 HSM。请确保使用可运行您计划使用的命令的用户类型登录。

如果您要添加或删除 HSM,请更新 CMU 的配置文件。否则,您所做的更改可能不会对集群中的所有 HSM 生效。

用户类型

以下类型的用户均可运行此命令。

  • 加密员(CO)

先决条件

在开始之前,您必须知道要与目标 HSM 同步的源 HSM 上的用户的 user ID。要查找 user ID,请使用 listUsers 命令以列出集群中的 HSM 上的所有用户。

您还需要知道分配给源和目标 HSM 的 server ID,这些值显示在 cloudhsm_mgmt_util 启动时返回的跟踪输出中。这些分配的顺序与 HSM 在配置文件中显示的顺序相同。

如果要跨克隆的集群同步 HSM,请按照跨克隆的集群使用 CMU Across Cloned Clusters 中的说明进行操作,并使用新的配置文件初始化 cloudhsm_mgmt_util。

当您准备好运行 syncUser 时,通过发出 server 命令在源 HSM 上进入服务器模式。

语法

由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。

syncUser <user ID> <server ID>

示例

运行 server 命令登录到源 HSM,并进入服务器模式。对于此示例,我们假设 server 0 是源 HSM。

aws-cloudhsm> server 0

立即运行 syncUser 命令。对于此示例,我们假定用户 6 是要同步的用户,server 1 是目标 HSM。

server 0> syncUser 6 1 ExtractMaskedObject: 0x0 ! InsertMaskedObject: 0x0 ! syncUser success

参数

由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。

syncUser <user ID> <server ID>
<用户 ID>

指定要同步的用户的 ID。您在每个命令中只能指定一个用户。要获取用户的 ID,请使用 listUsers

必需:是

<服务器 ID>

指定要将用户同步到的 HSM 的服务器编号。

必需:是

相关 主题