Verwendung von CloudHSM CLI zur Verwaltung der Quorum-Authentifizierung (M-von-N-Zugriffskontrolle) - AWS CloudHSM
Überblick über die Quorum-Authentifizierung mit Token-Sign-StrategieWeitere Details zur Quorum-Authentifizierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von CloudHSM CLI zur Verwaltung der Quorum-Authentifizierung (M-von-N-Zugriffskontrolle)

Die HSMs in Ihrem AWS CloudHSM Cluster unterstützen die Quorumauthentifizierung, die auch als M of N-Zugriffskontrolle bezeichnet wird. Mit der Quorum-Authentifizierung kann kein einzelner Benutzer im HSM quorum-kontrollierte Operationen im HSM durchführen. Stattdessen muss eine Mindestanzahl von HSM-Benutzern (mindestens 2) zusammenarbeiten, um diese Operationen durchzuführen. Mit der Quorum-Authentifizierung können Sie eine zusätzliche Schutzebene hinzufügen, indem Sie Genehmigungen von mehr als einem HSM-Benutzer erfordern.

Die Quorum-Authentifizierung kann die folgenden Vorgänge steuern:

Die folgenden Themen stellen weitere Informationen zur Quorum-Authentifizierung in AWS CloudHSM zur Verfügung.

Themen

Überblick über die Quorum-Authentifizierung mit Token-Sign-Strategie

Die folgenden Schritte fassen die Verfahren zur Quorum-Authentifizierung zusammen. Die exakten Schritte und Tools finden Sie unter Quorum-Authentifizierung für Administratoren verwenden.

  1. Jeder HSM-Benutzer erstellt einen asymmetrischen Schlüssel zum Signieren. Benutzer tun dies außerhalb des HSMs und achtet darauf, den Schlüssel angemessen zu schützen.

  2. Jeder HSM-Benutzer meldet sich beim HSM an und registriert den öffentlichen Teil seines Signierungsschlüssels (den öffentlichen Schlüssel) beim HSM.

  3. Wenn ein HSM-Benutzer eine Quorum-kontrollierte Operation durchführen möchte, meldet sich derselbe Benutzer beim HSM an und erhält ein Quorum-Token.

  4. Der HSM-Benutzer gibt das Quorum-Token an einen oder mehrere andere HSM-Benutzer weiter und bittet um deren Zustimmung.

  5. Die anderen HSM-Benutzer genehmigen, indem sie mit ihren Schlüsseln das Quorum-Token kryptographisch signieren. Dies geschieht außerhalb des HSMs.

  6. Wenn der HSM-Benutzer über die erforderliche Anzahl von Genehmigungen verfügt, meldet sich derselbe Benutzer beim HSM an und führt den quorumgesteuerten Vorgang mit dem --approval-Argument aus. Dabei wird die signierte Quorum-Tokendatei bereitgestellt, die alle erforderlichen Genehmigungen (Signaturen) enthält.

  7. Das HSM verwendet die registrierten, öffentlichen Schlüssel jedes Unterzeichners, um die Signaturen zu verifizieren. Wenn die Signaturen gültig sind, genehmigt das HSM das Token und der quorumgesteuerte Vorgang wird ausgeführt.

Weitere Details zur Quorum-Authentifizierung

Beachten Sie die folgenden, zusätzlichen Informationen zur Verwendung der Quorum-Authentifizierung in AWS CloudHSM.

  • Ein HSM-Benutzer kann sein eigenes Quorum-Token signieren, d. h. der anfordernde Benutzer kann eine der erforderlichen Genehmigungen für die Quorum-Authentifizierung bereitstellen.

  • Sie wählen die Mindestzahl der Quorum-Genehmiger für die Quorum-kontrollierten Operationen aus. Die kleinste Zahl, die Sie wählen können, ist zwei (2), und die größte Zahl, die Sie wählen können, ist acht (8).

  • Das HSM kann bis zu 1024 Quorum-Token speichern. Wenn das HSM beim Versuch, ein neues zu erstellen, bereits 1024 Token hat, löscht das HSM eines der abgelaufenen Token. Standardmäßig verfallen Token zehn Minuten nach ihrer Erstellung.

  • Wenn MFA aktiviert ist, verwendet der Cluster denselben Schlüssel für die Quorum-Authentifizierung und für die Multi-Faktor-Authentifizierung (MFA). Weitere Informationen zur Verwendung von Quorum-Authentifizierung und 2FA finden Sie unter CloudHSM CLI zur Verwaltung von MFA verwenden.

  • Jedes HSM kann jeweils nur ein Token pro Service enthalten.