使用 Cloud 產生規定人數權杖HSM CLI - AWS CloudHSM
使用者類型語法範例引數相關主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Cloud 產生規定人數權杖HSM CLI

在 CloudHSM 中使用 quorum token-sign generate命令CLI來產生規定人數授權服務的權杖。

對於服務使用者和規定人數,HSM叢集上的每個服務每個使用者只能取得一個作用中字符。此限制不適用於與金鑰服務相關的字符。

注意

只有管理員和加密使用者可以產生特定的服務權杖。如需服務類型和名稱的詳細資訊,請參閱支援規定人數身分驗證的服務名稱和類型

Admin Services:Quorum 身分驗證用於管理特殊權限服務,例如建立使用者、刪除使用者、變更使用者密碼、設定規定人數值,以及停用規定人數和MFA功能。

加密使用者服務:Quorum 身分驗證用於與特定金鑰相關聯的加密使用者權限服務,例如使用金鑰、sharing/unsharing a key, wrapping/unwrapping金鑰簽署,以及設定金鑰的屬性。產生、匯入或取消包裝金鑰時,會設定關聯金鑰的規定人數值。規定人數值必須等於或小於與金鑰相關聯的使用者數量,其中包括與金鑰共用的使用者和金鑰擁有者。

每種服務類型都會進一步細分為合格的服務名稱,這包含一組特定的可執行法定人數支援的服務操作。

服務名稱 服務類型 服務操作
使用者 管理員

  • 建立使用者

  • 刪除使用者

  • 變更使用者密碼

  • 變更使用者 MFA
規定人數 管理員

  • 規定人數字符簽署 set-quorum-value
cluster1 管理員

  • 叢集 mtls register-trust-anchor

  • 叢集 mtls deregister-trust-anchor

  • 叢集 mtls 設定強制執行
金鑰管理 加密使用者

  • 金鑰包裝

  • 金鑰取消包裝

  • 共用金錀

  • 取消共用金鑰

  • 設定金錀屬性
key-usage 加密使用者

  • 鍵符號

【1】 叢集服務僅在 hsm2m.medium 上提供

使用者類型

下列使用者可以執行此命令。

  • 管理員

  • 加密使用者 (CU)

語法

aws-cloudhsm > help quorum token-sign generate
Generate a token

Usage: quorum token-sign generate --service <SERVICE> --token <TOKEN>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --service <SERVICE>
          Service the token will be used for

          Possible values:
          - user:
            User management service is used for executing quorum authenticated user management operations
          - quorum:
            Quorum management service is used for setting quorum values for any quorum service
          - cluster: 
            Cluster management service is used for executing quorum for cluster wide configuration managements like mtls enforcement, mtls registration and mtls deregistration
          - registration:
            Registration service is used for registering a public key for quorum authentication
          - key-usage:
            Key usage service is used for executing quorum authenticated key usage operations
          - key-management:
            Key management service is used for executing quorum authenticated key management operations

      --token <TOKEN>
          Filepath where the unsigned token file will be written
  -h, --help                     Print help

範例

此命令會將叢集HSM中的每個 一個未簽署字符寫入 指定的檔案token

範例 :在叢集HSM中的每個 寫入一個未簽署的字符
aws-cloudhsm > quorum token-sign generate --service user --token /home/tfile
{
  "error_code": 0,
  "data": {
    "filepath": "/home/tfile"
  }
}

引數

<CLUSTER_ID>

要執行此操作的叢集 ID。

必要:如果已設定多個叢集。

<SERVICE>

指定要產生字符的規定人數授權服務。此為必要參數。

有效值

  • 使用者:指使用者管理服務,用於執行規定人數授權的使用者管理操作。

  • 規定人數:指規定人數管理服務,用於為任何規定人數授權服務設定規定人數授權的規定人數值。

  • 叢集:用於執行 mtls 強制執行、mtls 註冊和 mtls 取消註冊等叢集範圍組態管理的法定人數的叢集管理服務。

  • 登記:產生一個未簽署權杖,用於登記規定人數授權的公有金錀。

  • key-usage:產生未簽署的權杖,用於執行規定人數授權金鑰用量操作。

  • 金鑰管理:產生未簽署的權杖,用於執行規定人數授權金鑰管理操作。

必要:是

<TOKEN>

將寫入未簽署權杖檔案的檔案路徑。

必要:是

相關主題