使用 CloudHSM CLI 为 AWS CloudHSM 更改仲裁最小值 - AWS CloudHSM

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 CloudHSM CLI 为 AWS CloudHSM 更改仲裁最小值

为 CloudHSM 管理员设置最低法定人数值后,您可能需要调整法定人数最小值。只有当批准者人数达到或超过当前值时,HSM 才允许更改法定人数最小值。例如,如果法定人数的最小值为两 (2),则必须至少有两 (2) 个管理员批准任何更改。

注意

用户服务的仲裁值必须小于仲裁服务的仲裁值。有关服务名称的信息,请参见使用 CloudHSM CLI 进行法定身份验证支持的 AWS CloudHSM 服务名称和类型

要获取更改仲裁最小值的仲裁批准,您需要一个使用 quorum token-sign set-quorum-value 命令用于 quorum service仲裁令牌。若要使用 quorum token-sign set-quorum-value 命令为 quorum service 生成仲裁令牌,仲裁服务值必须大于一 (1)。这意味着,您可能需要先更改用户服务的仲裁最小值,然后才能更改仲裁服务的仲裁最小值。

更改管理员最低法定人数值的步骤

  1. 启动 CloudHSM CLI 交互模式。

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\> .\cloudhsm-cli.exe interactive

  2. 以管理员身份登录集群:

    aws-cloudhsm>login --username <admin> --role admin

  3. 检查当前的法定人数最小值:

    aws-cloudhsm>quorum token-sign list-quorum-values

  4. 如果法定服务的最小法定人数值低于用户服务的法定值,请更改法定服务值:

    aws-cloudhsm>quorum token-sign set-quorum-value --service quorum --value 3

  5. 为@@ 法定人数服务生成法定令牌

  6. 获得其他管理员的批准 (签名)

  7. 在 CloudHSM 集群上批准令牌并执行用户管理操作。

  8. 更改用户服务的最小法定人数值:

    aws-cloudhsm>quorum token-sign set-quorum-value
例 调整法定服务的最小值

  1. 检查当前值。该示例显示,用户服务的最小法定人数值目前为两 (2)。

    aws-cloudhsm > quorum token-sign list-quorum-values
{
  "error_code": 0,
  "data": {
    "user": 2,
    "quorum": 1
  }
}

  2. 更改法定服务值将法定服务的最小法定值设置为等于或大于用户服务值的值。此示例将法定服务的最小法定值设置为两 (2),与前一个示例中为用户服务设置的值相同。

    aws-cloudhsm > quorum token-sign set-quorum-value --service quorum --value 2
{
  "error_code": 0,
  "data": "Set quorum value successful"
}

  3. 验证更改此示例显示,用户服务和法定服务的最小法定人数值现在为两 (2)。

    aws-cloudhsm > quorum token-sign list-quorum-values
{
  "error_code": 0,
  "data": {
    "user": 2,
    "quorum": 2
  }
}