Verwenden von CloudHSM Management Utility (CMU) zur Verwaltung von Benutzern - AWS CloudHSM
Grundlegendes zur BenutzerverwaltungLaden Sie das CloudHSM Management Utility herunterBenutzerverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von CloudHSM Management Utility (CMU) zur Verwaltung von Benutzern

Dieses Thema enthält step-by-step Anweisungen zur Verwaltung von HSM-Benutzern (Hardware Security Module) mit dem CloudHSM Management Utility (CMU), einem Befehlszeilentool, das im Client-SDK enthalten ist. Weitere Informationen über CMU- oder HSM-Benutzer finden Sie unter CloudHSM-Verwaltungsdienstprogramm und Grundlegendes zu HSM-Benutzern.

Grundlegendes zur HSM-Benutzerverwaltung mit CMU

Um HSM-Benutzer zu verwalten, müssen Sie sich am HSM mit dem Benutzernamen und dem Passwort eines Crypto Officer (CO) anmelden. Nur COs können Benutzer verwalten. Das HSM enthält einen Standard-CO mit dem Namen admin. Sie haben das Passwort für admin festgelegt, wenn Sie das Cluster aktiviert haben.

Um CMU verwenden zu können, müssen Sie das Configure-Tool verwenden, um die lokale Konfiguration zu aktualisieren. Die CMU stellt eine eigene Verbindung zum Cluster her, und diese Verbindung ist nicht clusterfähig. Um Clusterinformationen nachzuverfolgen, verwaltet die CMU eine lokale Konfigurationsdatei. Das bedeutet, dass Sie bei jeder Verwendung der CMU zunächst die Konfigurationsdatei aktualisieren sollten, indem Sie das Befehlszeilentool configure mit dem --cmu-Parameter ausführen. Wenn Sie das Client-SDK 3.2.1 oder früher verwenden, müssen Sie einen anderen Parameter als --cmu verwenden. Weitere Informationen finden Sie unter Verwenden von CMU mit Client-SDK 3.2.1 und früher.

Für den --cmu-Parameter müssen Sie die IP-Adresse eines HSM in Ihrem Cluster hinzufügen. Wenn Sie mehrere HSMs haben, können Sie eine beliebige IP-Adresse verwenden. Dadurch wird sichergestellt, dass die CMU alle von Ihnen vorgenommenen Änderungen auf den gesamten Cluster übertragen kann. Denken Sie daran, dass die CMU ihre lokale Datei verwendet, um Clusterinformationen zu verfolgen. Wenn sich der Cluster seit der letzten Verwendung der CMU von einem bestimmten Host aus geändert hat, müssen Sie diese Änderungen der lokalen Konfigurationsdatei hinzufügen, die auf diesem Host gespeichert ist. Fügen Sie niemals ein HSM hinzu oder entfernen Sie es, während Sie CMU verwenden.

Um eine IP-Adresse für ein HSM (Konsole) zu erhalten

  1. Öffnen Sie die AWS CloudHSM Konsole unter https://console.aws.amazon.com/cloudhsm/home.

  2. Um die AWS-Region zu ändern, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Um die Cluster-Detailseite zu öffnen, wählen Sie in der Cluster-Tabelle die Cluster-ID aus.

  4. Um die IP-Adresse abzurufen, wählen Sie auf der Registerkarte HSMs eine der IP-Adressen aus, die unter ENI-IP-Adresse aufgeführt sind.

Um eine IP-Adresse für ein HSM zu erhalten ()AWS CLI

  • Rufen Sie die IP-Adresse eines HSM ab, indem Sie den describe-clusters Befehl von der AWS CLI verwenden. In der Ausgabe des Befehls sind die IP-Adressen der HSMs die Werte von EniIp. 

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...

Verwenden von CMU mit Client-SDK 3.2.1 und früher

Mit Client SDK 3.3.0 AWS CloudHSM wurde Unterstützung für den --cmu Parameter hinzugefügt, was die Aktualisierung der Konfigurationsdatei für CMU vereinfacht. Wenn Sie eine CMU-Version von Client-SDK 3.2.1 oder früher verwenden, müssen Sie weiterhin die Parameter -a und -m verwenden, um die Konfigurationsdatei zu aktualisieren. Weitere Informationen zu diesen Parametern finden Sie unter Configure-Tool.

Laden Sie das CloudHSM Management Utility herunter

Die neueste Version von CMU ist für HSM-Benutzerverwaltungsaufgaben verfügbar, unabhängig davon, ob Sie Client-SDK 5 und Client-SDK 3 verwenden.

So laden Sie CMU herunter und installieren es

  • Laden Sie jq herunter und installieren Sie sie.

    Amazon Linux
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL6/cloudhsm-mgmt-util-latest.el6.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el6.x86_64.rpm
    Amazon Linux 2
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    CentOS 7.8+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    CentOS 8.3+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    RHEL 7 (7.8+)
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    RHEL 8 (8.3+)
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    Ubuntu 16.04 LTS
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Xenial/cloudhsm-mgmt-util_latest_amd64.deb
    $ sudo apt install ./cloudhsm-mgmt-util_latest_amd64.deb
    Ubuntu 18.04 LTS
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Bionic/cloudhsm-mgmt-util_latest_u18.04_amd64.deb
    $ sudo apt install ./cloudhsm-mgmt-util_latest_u18.04_amd64.deb
    Windows Server 2012

    1. Laden Sie das CloudHSM Management Utility herunter

    2. Führen Sie das CMU-Installationsprogramm (AWSCloudHSMManagementUtil-latest.msi) mit Windows-Administratorrechten aus.

    Windows Server 2012 R2

    1. Laden Sie das CloudHSM Management Utility herunter

    2. Führen Sie das CMU-Installationsprogramm (AWSCloudHSMManagementUtil-latest.msi) mit Windows-Administratorrechten aus.

    Windows Server 2016

    1. Laden Sie das CloudHSM Management Utility herunter

    2. Führen Sie das CMU-Installationsprogramm (AWSCloudHSMManagementUtil-latest.msi) mit Windows-Administratorrechten aus.

Wie verwaltet man HSM-Benutzer mit CMU

Dieser Abschnitt enthält grundlegende Befehle zur Verwaltung von HSM-Benutzern mit CMU.

Verwenden Sie createUser, um neue Benutzer auf dem HSM zu erstellen. Sie müssen sich als CO anmelden, um einen Benutzer zu erstellen.

Um einen neuen CO-Benutzer zu erstellen

  1. Verwenden Sie das Configure-Tool, um die CMU-Konfiguration zu aktualisieren.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

  2. Starten von CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. Melden Sie sich beim HSM als CO-Benutzer an.

    aws-cloudhsm>loginHSM CO admin co12345

    Stellen Sie sicher, dass die Anzahl der Verbindungen, die in den CMU-Listen aufgeführt sind, mit der Anzahl der HSMs im Cluster übereinstimmt. Wenn nicht, melden Sie sich ab und beginnen Sie von vorne.

  4. Verwenden Sie createUser, um einen CO-Benutzer namens example_officer mit dem Passwort password1 zu erstellen.

    aws-cloudhsm>createUser CO example_officer password1

    Die CMU fordert Sie auf, den Vorgang zum Erstellen eines Benutzers auszuführen.

    
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

  5. Typ y.

Um einen neuen CU-Benutzer zu erstellen

  1. Verwenden Sie das Configure-Tool, um die CMU-Konfiguration zu aktualisieren.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

  2. Starten von CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. Melden Sie sich beim HSM als CO-Benutzer an.

    aws-cloudhsm>loginHSM CO admin co12345

    Stellen Sie sicher, dass die Anzahl der Verbindungen, die in den CMU-Listen aufgeführt sind, mit der Anzahl der HSMs im Cluster übereinstimmt. Wenn nicht, melden Sie sich ab und beginnen Sie von vorne.

  4. Verwenden Sie createUser, um einen CU-Benutzer namens example_user mit dem Passwort password1 zu erstellen.

    aws-cloudhsm>createUser CU example_user password1

    Die CMU fordert Sie auf, den Vorgang zum Erstellen eines Benutzers auszuführen.

    
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

  5. Typ y.

Für weitere Informationen über createUser finden Sie unter createUser.

Verwenden Sie den listUsers-Befehl, um alle Benutzer im Cluster aufzulisten. Sie müssen sich nicht anmelden, um listUsers auszuführen, und alle Benutzertypen können Benutzer auflisten.

Um alle Benutzer im Cluster aufzulisten

  1. Verwenden Sie das Configure-Tool, um die CMU-Konfiguration zu aktualisieren.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

  2. Starten von CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. Verwenden Sie listUsers, um alle Benutzer im Cluster aufzulisten. 

    aws-cloudhsm>listUsers

    CMU listet alle Benutzer des Clusters auf.

    
Users on server 0(10.0.2.9):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO
Users on server 1(10.0.3.11):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO
Users on server 2(10.0.1.12):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO

Für weitere Informationen über listUsers finden Sie in der listUsers.

Verwenden Sie changePswd, um ein Passwort zu ändern.

Bei Benutzertypen und Passwörtern wird zwischen Groß- und Kleinschreibung unterschieden, bei Benutzernamen jedoch nicht.

CO, Crypto-Benutzer (CU) und Appliance-Benutzer (AU) können ihr eigenes Passwort ändern. Um das Passwort eines anderen Benutzers zu ändern, müssen Sie sich als CO anmelden. Sie können das Passwort eines Benutzers, der gerade angemeldet ist, nicht ändern.

So ändern Sie Ihr eigenes Passwort

  1. Verwenden Sie das Configure-Tool, um die CMU-Konfiguration zu aktualisieren.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

  2. Starten von CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. Anmelden beim HSM.

    aws-cloudhsm>loginHSM CO admin co12345

    Stellen Sie sicher, dass die Anzahl der Verbindungen, die in den CMU-Listen aufgeführt sind, mit der Anzahl der HSMs im Cluster übereinstimmt. Wenn nicht, melden Sie sich ab und beginnen Sie von vorne.

  4. Mit changePswd können Sie Ihr eigenes Passwort ändern. 

    aws-cloudhsm>changePswd CO example_officer <new password>

    Die CMU informiert Sie über den Vorgang zum Ändern des Passworts.

    
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

  5. Typ y.

    Die CMU informiert Sie über den Vorgang zum Ändern des Passworts.

    
Changing password for example_officer(CO) on 3 nodes
So ändern Sie das Passwort eines anderen Benutzers

  1. Verwenden Sie das Configure-Tool, um die CMU-Konfiguration zu aktualisieren.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

  2. Starten von CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. Melden Sie sich beim HSM als CO-Benutzer an.

    aws-cloudhsm>loginHSM CO admin co12345

    Stellen Sie sicher, dass die Anzahl der Verbindungen, die in den CMU-Listen aufgeführt sind, mit der Anzahl der HSMs im Cluster übereinstimmt. Wenn nicht, melden Sie sich ab und beginnen Sie von vorne.

  4. Verwenden Sie changePswd, um das Passwort eines anderen Benutzers zu ändern. 

    aws-cloudhsm>changePswd CU example_user <new password>

    Die CMU informiert Sie über den Vorgang zum Ändern des Passworts.

    
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

  5. Typ y.

    Die CMU informiert Sie über den Vorgang zum Ändern des Passworts.

    
Changing password for example_user(CU) on 3 nodes

Für weitere Informationen über changePswd finden Sie unter changePswd.

Verwenden Sie deleteUser, um einen Benutzer zu löschen. Sie müssen sich als CO anmelden, um einen anderen Benutzer zu löschen.

Tipp

Sie können keine Crypto-Benutzer (CU) löschen, die Schlüssel besitzen.

Benutzer löschen

  1. Verwenden Sie das Configure-Tool, um die CMU-Konfiguration zu aktualisieren.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

  2. Starten von CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. Melden Sie sich beim HSM als CO-Benutzer an.

    aws-cloudhsm>loginHSM CO admin co12345

    Stellen Sie sicher, dass die Anzahl der Verbindungen, die in den CMU-Listen aufgeführt sind, mit der Anzahl der HSMs im Cluster übereinstimmt. Wenn nicht, melden Sie sich ab und beginnen Sie von vorne.

  4. Verwenden Sie deleteUser, um einen Benutzer zu löschen. 

    aws-cloudhsm>deleteUser CO example_officer

    CMU löscht den Benutzer.

    
Deleting user example_officer(CO) on 3 nodes
deleteUser success on server 0(10.0.2.9)
deleteUser success on server 1(10.0.3.11)
deleteUser success on server 2(10.0.1.12)

Für weitere Informationen über deleteUser finden Sie unter deleteUser.