使用 AWS CloudHSM Management Utility 登入和登出 HSM

使用 cloudhsm_mgmt_util AWS CloudHSM 中的 loginHSM和 logoutHSM命令來登入和登出叢集中的每個 HSM。任何類型的任何使用者都可以使用這些命令。

如果您錯誤登入超過 5 次，系統將鎖定您的帳戶。若要解除鎖定帳戶，加密管理員 (CO) 必須在 cloudhsm_mgmt_util 中使用 changePswd 命令來重設您的密碼。

您必須先啟動 cloudhsm_mgmt_util，然後再執行這些 cloudhsm_mgmt_util 命令。

如果您新增或刪除 HSMs，請更新 AWS CloudHSM 用戶端和命令列工具使用的組態檔案。否則，您所進行的變更可能無法在叢集中的所有 HSM 上生效。

如果您在叢集中有多個 HSM，系統將允許您再嘗試登入幾次，若均登入錯誤，系統才會鎖定您的賬戶。這是因為 CloudHSM 用戶端可平衡各個 HSM 之間的負載。因此，每次登入嘗試可能會在不同的 HSM 上開始。如果您正在測試此功能，建議您在只有一個作用中 HSM 的叢集上執行此操作。

如果您在 2018 年 2 月前建立叢集，則系統將在您 20 次錯誤登入後鎖定您的賬戶。

使用者類型

下列使用者可以執行這些命令。

依照語法圖表中指定的順序輸入引數。使用 -hpswd 參數來遮罩您的密碼。若要啟用雙重要素驗證 (2FA)，請使用 -2fa 參數並包含檔案路徑。如需詳細資訊，請參閱引數。


loginHSM <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]


logoutHSM

這些範例顯示如何使用 loginHSM 和 logoutHSM 登入和登出叢集中的所有 HSM。

此命令會使用名為 admin、密碼為 co12345 的 CO 使用者登入憑證資訊，來登入叢集中的所有 HSM。輸出會顯示您已成功執行此命令，且已連接到 HSM (在此案例中是 server 0 和 server 1)。


aws-cloudhsm>loginHSM CO admin co12345

loginHSM success on server 0(10.0.2.9)
loginHSM success on server 1(10.0.3.11)

此命令與以上範例相同，只不過這次您指定系統應該隱藏密碼。


aws-cloudhsm>loginHSM CO admin -hpswd

系統會提示您輸入密碼。您輸入密碼時後，系統會隱藏密碼，並且輸出會顯示您已成功執行此命令，並顯示您已連線至叢集上的所有 HSM。


Enter password:

loginHSM success on server 0(10.0.2.9)
loginHSM success on server 1(10.0.3.11)

aws-cloudhsm>

此命令會登出您目前登入的 HSM (在此案例中是 server 0 和 server 1)。輸出會顯示已成功執行此命令，且使用者已從 HSM 中斷開連線。


aws-cloudhsm>logoutHSM

logoutHSM success on server 0(10.0.2.9)
logoutHSM success on server 1(10.0.3.11)

依照語法圖表中指定的順序輸入引數。使用 -hpswd 參數來遮罩您的密碼。若要啟用雙重要素驗證 (2FA)，請使用 -2fa 參數並包含檔案路徑。如需使用 2FA 的詳細資訊，請參閱管理使用者 2FA。


loginHSM <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]

<user type>

指登入 HSM 的使用者類型。如需詳細資訊，請參閱上面的使用者類型。

必要：是

<user name>

指登入 HSM 使用者的使用者名稱。

必要：是

＜密碼 | ‐hpswd >

指定登入 HSM 使用者的密碼。要隱藏您的密碼，請使用 -hpswd 參數代替密碼，然後按照提示進行操作。

必要：是

[-2fa </path/to/authdata>]

指系統應使用第二個要素來驗證該啟用 2FA 的 CO 使用者。若要取得啟用 2FA 登入的所需資料，請在 -2fa 參數後加入檔案系統帶有檔案名稱位置的路徑。如需使用 2FA 的詳細資訊，請參閱管理使用者 2FA。

必要：否