Ändern des Quorum-Mindestwerts für Verschlüsselungsverantwortliche - AWS CloudHSM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ändern des Quorum-Mindestwerts für Verschlüsselungsverantwortliche

Nachdem Sie den Quorum-Mindestwert festgelegt haben, sodass Verschlüsselungsverantwortliche (COs) die Quorum-Authentifizierung verwenden können, können Sie den Quorum-Mindestwert ändern. Das HSM lässt nur eine Änderung des Quorum-Mindestwerts zu, wenn die Anzahl der Genehmiger gleich oder höher als der aktuelle Quorum-Mindestwert ist. Beispiel: Wenn der Quorum-Mindestwert 2 beträgt, genehmigen mindestens zwei COs die Änderung des Quorum-Mindestwerts.

Für die Quorum-Genehmigung zum Ändern des Quorum-Mindestwerts benötigen Sie ein Quorum-Token für den Befehl setMValue (Service 4). Um ein Quorum-Token für den Befehl setMValue (Service 4) zu erhalten, muss der Quorum-Mindestwert für Service 4 größer als 1 sein. Das bedeutet, dass Sie vor dem Ändern des Quorum-Mindestwerts für COs (Service 3) möglicherweise den Quorum-Mindestwert für Service 4 ändern müssen.

In der folgenden Tabelle sind die HSM-Dienstkennungen zusammen mit ihren Namen, Beschreibungen und den Befehlen aufgeführt, die im Dienst enthalten sind.

Dienstkennung Service-Name Service description (Service-Beschreibung) HSM-Befehle
3 USER_MGMT HSM-Benutzerverwaltung

  • createUser

  • deleteUser

  • changePswd (gilt nur, wenn das Passwort eines anderen HSM-Benutzers geändert wird)
4 MISC_CO Diverser CO-Service

  • setMValue
So ändern Sie den Quorum-Mindestwert für Verschlüsselungsverantwortliche

  1. Starten Sie das Befehlszeilen-Toolcloudhsm_mgmt_util mit folgendem Befehl.

    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg

  2. Verwenden Sie den Befehl loginHSM, um sich bei den HSMs als CO anzumelden. Weitere Informationen finden Sie unter Verwaltung von HSM-Benutzern mit CloudHSM Management Utility (CMU).

  3. Verwenden Sie den Befehl getMValue, um den Quorum-Mindestwert für Service 3 abzurufen. Weitere Informationen finden Sie im folgenden Beispiel.

  4. Verwenden Sie den Befehl getMValue, um den Quorum-Mindestwert für Service 4 abzurufen. Weitere Informationen finden Sie im folgenden Beispiel.

  5. Wenn der Quorum-Mindestwert für Service 4 niedriger ist als der Wert für Service 3, verwenden Sie den Befehl setMValue, um den Wert für Service 4 zu ändern. Ändern Sie den Wert für Service 4 in einen Wert, der gleich oder höher als der Wert für Service 3 ist. Weitere Informationen finden Sie im folgenden Beispiel.

  6. Rufen Sie ein Quorum-Token ab und geben Sie Service 4 als den Service an, für den Sie das Token verwenden können.

  7. Erhalten von Genehmigungen (Signaturen) von anderen COs.

  8. Genehmigen des Tokens im HSM.

  9. Verwenden Sie den Befehl setMValue, um den Quorum-Mindestwert für Service 3 zu ändern (Benutzerverwaltungs-Vorgänge, die von COs ausgeführt werden).

Beispiel – Abrufen von Quorum-Mindestwerten und Ändern des Werts für Service 4

Das folgende Beispiel zeigt, dass der Quorum-Mindestwert für Service 3 derzeit 2 ist.

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

Das folgende Beispiel zeigt, dass der Quorum-Mindestwert für Service 4 derzeit 1 ist.

aws-cloudhsm>getMValue 4
MValue of service 4[MISC_CO] on server 0 : [1]
MValue of service 4[MISC_CO] on server 1 : [1]

Um den Quorum-Mindestwert für Service 4 zu ändern, verwenden Sie den Befehl setMValue und legen Sie einen Wert fest, der gleich oder höher als der Wert für Service 3 ist. Im folgenden Beispiel wird der Quorum-Mindestwert für Service 4 auf 2 festgelegt. Dies ist der gleiche Wert wie für Service 3.

aws-cloudhsm>setMValue 4 2
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
Setting M Value(2) for 4 on 2 nodes

Die folgenden Befehle zeigen, dass der Quorum-Mindestwert für Service 3 und Service 4 jetzt 2 ist.

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
aws-cloudhsm>getMValue 4
MValue of service 4[MISC_CO] on server 0 : [2]
MValue of service 4[MISC_CO] on server 1 : [2]