使用 AWS CloudHSM 管理实用程序更改仲裁最小值 - AWS CloudHSM

使用 AWS CloudHSM 管理实用程序更改仲裁最小值

设置仲裁最小值以便AWS CloudHSM加密员(CO)能够使用仲裁身份验证后,您可能希望更改仲裁最小值。仅当审批者的数量大于或等于当前仲裁最小值时,HSM 才允许您更改 quorum 最小值。例如,如果 quorum 最小值为 2,则必须至少有两个 CO 批准更改 quorum 最小值。

要获取更改仲裁最小值的仲裁批准,您需要一个用于 setMValue 命令 (服务 4) 的仲裁令牌。要获取用于 setMValue 命令(服务 4)的仲裁令牌,服务 4 的仲裁最小值必须大于 1。这意味着,您可能需要先更改服务 4 的 quorum 最小值,然后才能更改 CO (服务 3) 的 quorum 最小值。

下表列出了 HSM 服务标识符及其名称、描述和服务所包含命令。

服务标识符 服务名称 服务描述 HSM 命令
3 USER_MGMT HSM 用户管理
  • createUser

  • deleteUser

  • changePswd(仅适用于更改其他 HSM 用户的密码)

4 MISC_CO 其他 CO 服务
  • setMValue

为加密员更改仲裁最小值
  1. 使用以下命令启动 cloudhsm_mgmt_util 命令行工具。

    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
  2. 使用 loginHSM 命令以 CO 身份登录 HSM。有关更多信息,请参阅 使用 CloudHSM 管理实用程序(CMU)管理 HSM 用户

  3. 使用 getMValue 命令获取服务 3 的仲裁最小值。有关更多信息,请参阅以下示例。

  4. 使用 getMValue 命令获取服务 4 的仲裁最小值。有关更多信息,请参阅以下示例。

  5. 如果服务 4 的仲裁最小值小于服务 3 的相应值,请使用 setMValue 命令更改服务 4 的值。将服务 4 的值更改为大于或等于服务 3 的值。有关更多信息,请参阅以下示例。

  6. 获取一个 quorum 令牌,并注意指定服务 4 作为您可以对其使用令牌的服务。

  7. 获得其他 CO 的批准 (签名)

  8. 批准 HSM 上的令牌

  9. 使用 setMValue 命令更改服务 3(由 CO 执行的用户管理操作)的仲裁最小值。

例 – 获取仲裁最小值并更改服务 4 的相应值

以下示例命令显示了服务 3 的 quorum 最小值当前为 2。

aws-cloudhsm>getMValue 3 MValue of service 3[USER_MGMT] on server 0 : [2] MValue of service 3[USER_MGMT] on server 1 : [2]

以下示例命令显示了服务 4 的 quorum 最小值当前为 1。

aws-cloudhsm>getMValue 4 MValue of service 4[MISC_CO] on server 0 : [1] MValue of service 4[MISC_CO] on server 1 : [1]

要更改服务 4 的仲裁最小值,请使用 setMValue 命令,并设置一个大于或等于服务 3 的相应值的值。以下示例将服务 4 的 quorum 最小值设置为二 (2),与为服务 3 设置的值相同。

aws-cloudhsm>setMValue 4 2 *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y Setting M Value(2) for 4 on 2 nodes

以下命令显示了服务 3 和服务 4 的 quorum 最小值现在为 2。

aws-cloudhsm>getMValue 3 MValue of service 3[USER_MGMT] on server 0 : [2] MValue of service 3[USER_MGMT] on server 1 : [2]
aws-cloudhsm>getMValue 4 MValue of service 4[MISC_CO] on server 0 : [2] MValue of service 4[MISC_CO] on server 1 : [2]