更改管理员的仲裁最小值 - AWS CloudHSM

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

更改管理员的仲裁最小值

设置仲裁最小值以便管理员能够使用仲裁身份验证后,您可能希望更改仲裁最小值。仅当审批者的数量大于或等于当前仲裁最小值时,HSM 才允许您更改 quorum 最小值。例如,如果仲裁最小值为二 (2),则必须至少有两 (2) 个管理员批准更改仲裁最小值。

注意

用户服务的仲裁值必须小于仲裁服务的仲裁值。有关服务名称(例如仲裁服务和用户服务)的信息,请参阅支持仲裁身份验证的服务名称和类型

要获取更改仲裁最小值的仲裁批准,您需要一个使用 quorum token-sign set-quorum-value 命令用于 quorum service仲裁令牌。若要使用 quorum token-sign set-quorum-value 命令为 quorum service 生成仲裁令牌,仲裁服务值必须大于一 (1)。这意味着,您可能需要先更改用户服务的仲裁最小值,然后才能更改仲裁服务的仲裁最小值。

若要更改管理员的最小仲裁值

  1. 使用以下命令启动 CloudHSM CLI 交互模式。

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\> .\cloudhsm-cli.exe interactive

  2. 使用 login 命令,并以管理员身份登录该集群。

    aws-cloudhsm>login --username <admin> --role admin

  3. 使用 quorum token-sign list-quorum-values 命令获取所有服务名称的仲裁最小值。有关更多信息,请参阅下面的示例。

  4. 如果仲裁服务的仲裁最小值小于用户服务的相应值,请使用 quorum token-sign set-quorum-value 命令更改仲裁服务的值。将仲裁服务的值更改为一 (1),等于或大于用户服务的值。有关更多信息,请参阅以下示例。

  5. 生成一个仲裁令牌,并注意指定仲裁服务作为您可以对其使用令牌的服务。

  6. 获得其他管理员的批准 (签名)

  7. 在 AWS CloudHSM 集群上批准令牌并执行用户管理操作。

  8. 使用 quorum token-sign set-quorum-value 命令获取用户服务的仲裁最小值。

例 – 获取仲裁最小值并更改仲裁服务的相应值

以下示例命令显示了用户服务的仲裁最小值当前为二 (2)。

aws-cloudhsm > quorum token-sign list-quorum-values{
  "error_code": 0,
  "data": {
    "user": 2,
    "quorum": 1
  }
}

要更改仲裁服务的仲裁最小值,请使用 quorum token-sign set-quorum-value 命令,并设置一个等于或大于用户服务的相应值的值。以下示例将仲裁服务的仲裁最小值设置为二 (2),与为用户服务设置的值相同。

aws-cloudhsm > quorum token-sign set-quorum-value --service quorum --value 2{
  "error_code": 0,
  "data": "Set quorum value successful"
}

以下命令显示了用户服务仲裁服务的仲裁最小值现在为二 (2)。

aws-cloudhsm > quorum token-sign list-quorum-values{
  "error_code": 0,
  "data": {
    "user": 2,
    "quorum": 2
  }
}