使用 CloudHSM 管理实用程序 (CMU, CloudHSM Management Utility) 管理仲裁身份验证(M of N 访问控制)
AWS CloudHSM 群集中的 HSM 支持仲裁身份验证(也称为 M of N 访问控制)。对于仲裁身份验证,HSM 上的单个用户不能在 HSM 上执行仲裁控制型操作。必须有最少数量 (至少 2 个) 的 HSM 用户合作才能执行这些操作。对于仲裁身份验证,要求多个 HSM 用户批准,这样可以增加一层额外的保护。
仲裁身份验证可以控制以下操作:
-
由加密员(CO) 进行的 HSM 用户管理:创建和删除 HSM 用户,以及更改其他 HSM 用户的密码。有关更多信息,请参阅 在为 AWS CloudHSM 管理实用程序启用仲裁身份验证的情况下进行用户管理。
注意以下有关在 AWS CloudHSM 中使用仲裁身份验证的更多信息。
-
HSM 用户可为自己的仲裁令牌签名,也就是说,请求用户可提供仲裁身份验证所需的批准之一。
-
为仲裁控制型操作选择最小数量的仲裁审批者。您可以选择的最小数字是二(2),您可以选择的最大数字是八(8)。
-
HSM 可容纳多达 1024 个仲裁令牌。如果 HSM 在您尝试创建新的令牌时已有 1024 个令牌,HSM 将清除过期令牌之一。默认情况下,令牌将在创建 10 分钟后过期。
-
集群使用相同的密钥进行仲裁身份验证和双重身份验证 (2FA, two-factor authentication)。有关使用仲裁身份验证和双因素身份验证的更多信息,请参阅仲裁身份验证和双因素身份验证。
下列主题提供了有关 AWS CloudHSM 中的仲裁身份验证的更多信息。
