本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Cloud 管理法定身份验证(M of N 访问控制)HSMCLI
AWS CloudHSM 集群中的硬件安全模块 (HSM) 支持法定身份验证,也称为 M of N 访问控制。使用法定人数身份验证,上的任何一个用户都HSM无法在上执行法定控制的操作。HSM相反,必须有最少数量的HSM用户(至少 2 个)合作才能执行这些操作。使用法定身份验证,您可以通过要求多个HSM用户的批准来增加额外的保护层。
仲裁身份验证可以控制以下操作:
-
HSM管理员管理用户-创建和删除HSM用户,以及更改其他HSM用户的密码。有关更多信息,请参阅 为使用 Cloud 启用法定身份验证的 AWS CloudHSM 用户管理 HSM CLI。
请注意以下有关在中使用法定身份验证的内容。 AWS CloudHSM
-
HSM用户可以签署自己的法定人数令牌,也就是说,提出请求的用户可以为法定人数身份验证提供所需的批准之一。
-
为仲裁控制型操作选择最小数量的仲裁审批者。您可以选择的最小数字是二(2),您可以选择的最大数字是八(8)。
-
最多HSM可以存储 1024 个法定代币。如果您在尝试创建新令牌时HSM已经有 1024 个令牌,则会HSM清除其中一个过期的令牌。默认情况下,令牌将在创建 10 分钟后过期。
-
如果启用,MFA则集群将使用相同的密钥进行法定身份验证和多因素身份验证 ()。MFA有关使用法定身份验证和 2FA 的更多信息,请参阅使用 Cloud HSM CLI 进行管理。MFA
-
每个服务一次HSM只能包含一个令牌。
下列主题提供了有关 AWS CloudHSM中的仲裁身份验证的更多信息。
主题
