使用 AWS CloudHSM Management Utility 變更法定最小值 - AWS CloudHSM

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS CloudHSM Management Utility 變更法定最小值

設定法定人數最小值以讓 AWS CloudHSM 加密管理員 (COs) 可以使用法定人數身分驗證之後,您可能想要變更法定人數最小值。只有在核准者數目等於或高於目前法定人數最小值時, HSM才可讓您變更法定人數最小值。例如,如果法定人數最小值為 2,則至少COs需要 2 個核准才能變更法定人數最小值。

若要取得規定人數核准來變更規定人數最小值,您需要規定人數字符來用於 setMValue 命令 (服務 4)。若要取得 setMValue 命令的規定人數字符 (服務 4),服務 4 的規定人數最小值必須大於 1。這表示在變更 COs(服務 3) 的法定最小值之前,您可能需要變更服務 4 的法定最小值。

下表列出HSM服務識別符及其名稱、描述和包含在服務中的命令。

服務識別符 服務名稱 服務描述 HSM 命令
3 USER_MGMT HSM 使用者管理

  • createUser

  • deleteUser

  • changePswd (僅適用於變更不同HSM使用者的密碼時)
4 MISC_CO 其他 CO 服務

  • setMValue
變更加密主管的規定人數最小值

  1. 使用下列命令啟動 cloudhsm_mgmt_util 命令列工具。

    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg

  2. 使用 loginHSM命令以 CO HSM身分登入 。如需詳細資訊,請參閱HSM 使用 CloudHSM Management Utility (CMU) 進行使用者管理

  3. 使用 getMValue 命令取得服務 3 的規定人數最小值。如需詳細資訊,請參閱下列範例。

  4. 使用 getMValue 命令取得服務 4 的規定人數最小值。如需詳細資訊,請參閱下列範例。

  5. 如果服務 4 的規定人數最小值低於服務 3 的值,請使用 setMValue 命令來變更服務 4 的值。將服務 4 的值變更為等於或大於服務 3 的值。如需詳細資訊,請參閱下列範例。

  6. 取得規定人數權杖,且應該指定服務 4 做為您可將字符用於其中的服務。

  7. 從其他 取得核准 (簽章)COs

  8. 上核准權杖HSM

  9. 使用 setMValue命令來變更服務 3 的法定最小值 (由 執行的使用者管理操作COs)。

範例 – 取得規定人數最小值並變更服務 4 的值

以下範例命令顯示服務 3 的規定人數最小值目前是 2。

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

以下範例命令顯示服務 4 的規定人數最小值目前是 1。

aws-cloudhsm>getMValue 4
MValue of service 4[MISC_CO] on server 0 : [1]
MValue of service 4[MISC_CO] on server 1 : [1]

若要變更服務 4 的規定人數最小值,請使用 setMValue 命令,並設定等於或大於服務 3 之值的值。以下範例將服務 4 的規定人數最小值設為 2,與為服務 3 設定的值相同。

aws-cloudhsm>setMValue 4 2
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
Setting M Value(2) for 4 on 2 nodes

以下命令顯示服務 3 和服務 4 的規定人數最小值現在是 2。

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
aws-cloudhsm>getMValue 4
MValue of service 4[MISC_CO] on server 0 : [2]
MValue of service 4[MISC_CO] on server 1 : [2]