本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
createUser
cloudhsm_mgmt_util 中的 createUser 命令可在 HSM 上建立使用者。只有加密管理員 (CO 和 PRECO) 可以執行此命令。命令成功時,它會在叢集的所有 HSM 中建立使用者。
如果您的 HSM 組態不準確,可能不會在所有 HSM 上建立使用者。若要將使用者新增至未包含該使用者的任何 HSM,請僅在遺漏該使用者的 HSM 上使用 syncUser 或 createUser 命令。為了避免組態錯誤,請執行 configure 工具搭配 -m 選項。
啟動 CMU 並登入 HSM 後,方可執行任何 CMU 命令。請確認您所登入的使用者帳戶類型能夠執行您要使用的命令。
如果您新增或刪除 HSM,請更新 CMU 的組態檔案。否則,您所進行的變更可能無法在叢集中的所有 HSM 上生效。
使用者類型
下列類型的使用者可以執行此命令。
-
加密管理員 (CO、PRECO)
語法
依照語法圖表中指定的順序輸入引數。使用 -hpswd 參數來遮罩您的密碼。若要為 CO 使用者啟用雙重要素身分驗證 (2FA),請使用 -2fa 參數並包含檔案路徑。如需詳細資訊,請參閱 引數。
createUser <user-type> <user-name> <password|-hpswd> [-2fa </path/to/authdata>]
範例
下列範例顯示如何使用 createUser 在您的 HSM 中建立新使用者。
範例 :建立加密管理員
此範例會在叢集中的 HSM 上建立加密管理員 (CO)。第一個命令會使用 loginHSM 以加密管理員的身分登入 HSM。
aws-cloudhsm>loginHSM CO admin 735782961loginHSM success on server 0(10.0.0.1) loginHSM success on server 1(10.0.0.2) loginHSM success on server 1(10.0.0.3)
第二個命令會使用 createUser 命令來建立 alice (即 HSM 上新的加密管理員)。
警告訊息說明該命令會在叢集中的所有 HSM 上建立使用者。但如果此命令在任何 HSM 上失敗,使用者將不會存在於那些 HSM 上。若要繼續,請輸入 y。
輸出顯示已在叢集中的所有三個 HSM 上建立新使用者。
aws-cloudhsm>createUser CO alice 391019314*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User alice(CO) on 3 nodes
命令完成時,alice 會擁有與 HSM 上與 admin CO 使用者相同的許可,包括變更 HSM 上任何使用者的密碼。
最後一個命令會使用 listUsers 命令,來驗證在叢集的所有三個 HSM 上是否存在 alice。輸出也會顯示 alice 已獲指派使用者 ID 3。.您可以使用使用者 ID 來識別alice其他命令,例如findAllKeys。
aws-cloudhsm>listUsersUsers on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.2): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.3): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO
範例 :建立加密使用者
此範例會在 HSM 上建立加密使用者 (CU) bob。加密使用者可以建立和管理金鑰,但不能管理使用者。
在您輸入 y 來回應警告訊息之後,輸出會顯示已在叢集中的全部三個 HSM 上建立 bob。新 CU 可以登入 HSM 來建立和管理金鑰。
此命令使用 defaultPassword 的密碼值。之後,bob 或任何 CO 可以使用 changePswd 命令來變更他的密碼。
aws-cloudhsm>createUser CU bob defaultPassword*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User bob(CU) on 3 nodes
引數
依照語法圖表中指定的順序輸入引數。使用 -hpswd 參數來遮罩您的密碼。若要建立啟用雙重要素驗證 (2FA) 的 CO 使用者,請使用 -2fa 參數並包含檔案路徑。如需 2FA 的詳細資訊,請參閱 使用 CMU 管理 2FA。
createUser <user-type> <user-name> <password|-hpswd> [-2fa </path/to/authdata>]
- <user-type>
-
指使用者的類型。此為必要參數。
如需 HSM 上使用者類型的詳細資訊,請參閱 了解 HSM 使用者。
有效值:
-
CO:加密管理員可以管理使用者,但不能管理金鑰。
-
CU :加密使用者可以建立管理金鑰並在密碼編譯操作時使用該金鑰。
當您在 HSM 啟用期間指派密碼時,PRECO 會轉換為 CO。
必要:是
-
- <user-name>
-
為使用者指定易記的名稱。長度上限為 31 個字元。允許的唯一特殊字元是底線 (_)。
建立使用者之後,您就無法再變更使用者的名稱。在 cloudhsm_mgmt_util 命令中,使用者類型和密碼需區分大小寫,但使用者名稱不區分大小寫。
必要:是
- <password | -hpswd >
-
為使用者指定密碼。輸入長度 7 到 32 個字元的字串。此值區分大小寫。輸入密碼時,密碼會以純文字顯示。要隱藏您的密碼,請使用
-hpswd參數代替密碼,然後按照提示進行操作。若要變更使用者密碼,請使用 changePswd。任何 HSM 使用者可以變更自己的密碼,但 CO 使用者可以變更 HSM 上任何使用者 (任何類型) 的密碼。
必要:是
- [-2fa </path/to/authdata>]
-
指建立已啟用 2FA 的 CO 使用者。若要取得設定 2FA 驗證所需資料,請在
-2fa參數後加入檔案系統帶有檔案名稱位置的路徑。如需設定並使用 2FA 的詳細資訊,請參閱 使用 CMU 管理 2FA。必要:否
相關主題
