Uso de la utilidad de administración de CloudHSM (CMU) para administrar los usuarios - AWS CloudHSM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de la utilidad de administración de CloudHSM (CMU) para administrar los usuarios

En este tema se proporcionan step-by-step instrucciones sobre cómo administrar los usuarios del módulo de seguridad de hardware (HSM) con la Utilidad de administración (CMU) de CloudHSM, una herramienta de línea de comandos que viene con el SDK de cliente. Para obtener más información sobre los usuarios de CMU o HSM, consulteUtilidad de administración CloudHSM yDescripción de los usuarios de HSM.

Entender la gestión de usuarios de HSM con CMU

Para administrar los usuarios del HSM, debe iniciar sesión en el HSM con el nombre de usuario y la contraseña de un oficial de criptografía (CO). Solo los CO pueden gestionar los usuarios. El HSM contiene un CO predeterminado llamado admin. Estableciste la contraseña paraadmin cuando activaste el clúster.

Para usar la CMU, debe usar la herramienta de configuración para actualizar la configuración local. La CMU crea su propia conexión con el clúster y esta conexión no reconoce el clúster. Para realizar un seguimiento de la información del clúster, la CMU mantiene un archivo de configuración local. Esto significa que cada vez que utilice la CMU, primero debe actualizar el archivo de configuración ejecutando la herramienta de línea de comandos de configuración con el--cmu parámetro. Si utiliza Client SDK 3.2.1 o una versión anterior, debe utilizar un parámetro distinto de--cmu. Para obtener más información, consulte Uso de la CMU con Client SDK 3.2.1 y versiones anteriores.

El--cmu parámetro requiere que añada la dirección IP de un HSM en su clúster. Si tiene varios HSM, puede utilizar cualquier dirección IP. Esto garantiza que la CMU pueda propagar cualquier cambio que realice en todo el clúster. Recuerde que la CMU usa su archivo local para rastrear la información del clúster. Si el clúster ha cambiado desde la última vez que utilizó la CMU desde un host determinado, debe agregar esos cambios al archivo de configuración local almacenado en ese host. Nunca añadas ni elimines un HSM mientras estés usando la CMU.

Para obtener una dirección IP para un HSM (consola)
  1. Abra laAWS CloudHSM consola en https://console.aws.amazon.com/cloudhsm/home.

  2. Para cambiar la región de AWS, utilice el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Clusters (Clústeres).

  4. Para abrir la página de detalles del clúster, en la tabla de clústeres, selecciona el ID del clúster.

  5. Para obtener la dirección IP, en la pestaña HSM, elija una de las direcciones IP que figuran en la dirección IP ENI.

Para obtener una dirección IP para un HSM (AWS CLI)
  • Obtenga la dirección IP de un HSM mediante eldescribe-clusters comando deAWS CLI. En el resultado del comando, la dirección IP de los HSM son los valores deEniIp.

    $ aws cloudhsmv2 describe-clusters { "Clusters": [ { ... } "Hsms": [ { ... "EniIp": "10.0.0.9", ... }, { ... "EniIp": "10.0.1.6", ...

Uso de la CMU con Client SDK 3.2.1 y versiones anteriores

Con Client SDK 3.3.0,AWS CloudHSM se agregó soporte para el--cmu parámetro, lo que simplifica el proceso de actualización del archivo de configuración de la CMU. Si utiliza una versión de CMU del SDK de cliente 3.2.1 o anterior, debe seguir utilizando los-m parámetros-a and para actualizar el archivo de configuración. Para obtener más información sobre estos parámetros, consulte Herramienta de configuración.

Descargue la utilidad de administración de CloudHSM

La última versión de la CMU está disponible para las tareas de administración de usuarios de HSM, ya sea que utilice el SDK 5 de cliente y el SDK 3 de cliente.

Para descargar e instalar la CMU
  • Descarga e instalar la CMU.

    Amazon Linux
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL6/cloudhsm-mgmt-util-latest.el6.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el6.x86_64.rpm
    Amazon Linux 2
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    CentOS 7.8+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    CentOS 8.3+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    RHEL 7.8+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    RHEL 8.3+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    Ubuntu 16.04 LTS
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Xenial/cloudhsm-mgmt-util_latest_amd64.deb
    $ sudo apt install ./cloudhsm-mgmt-util_latest_amd64.deb
    Ubuntu 18.04 LTS
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Bionic/cloudhsm-mgmt-util_latest_u18.04_amd64.deb
    $ sudo apt install ./cloudhsm-mgmt-util_latest_u18.04_amd64.deb
    Windows Server 2012
    1. Descargue la utilidad de administración de CloudHSM.

    2. Ejecute el instalador de CMU (AWSCloudHSMManagementUtil-latest.msi) con privilegios de administrador de Windows.

    Windows Server 2012 R2
    1. Descargue la utilidad de administración de CloudHSM.

    2. Ejecute el instalador de CMU (AWSCloudHSMManagementUtil-latest.msi) con privilegios de administrador de Windows.

    Windows Server 2016
    1. Descargue la utilidad de administración de CloudHSM.

    2. Ejecute el instalador de CMU (AWSCloudHSMManagementUtil-latest.msi) con privilegios de administrador de Windows.

Cómo gestionar los usuarios de HSM con CMU

Esta sección incluye comandos básicos para administrar los usuarios de HSM con CMU.

Se usacreateUser para crear nuevos usuarios en el HSM. Debe iniciar sesión como CO para crear un usuario.

Para crear un usuario CO nuevo
  1. Utilice la herramienta de configuración para actualizar la configuración de la CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Iniciar la CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Inicie sesión en el HSM como un usuario CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Asegúrese de que el número de conexiones que las listas de la CMU coincidan con el número de HSM del clúster. Si no, cierra sesión y vuelve a empezar.

  4. Se utilizacreateUser para crear un usuario CO nombradoexample_officer con una contraseña depassword1.

    aws-cloudhsm>createUser CO example_officer password1

    La CMU le pregunta acerca de la operación de creación de usuario.

    *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
  5. Escriba y.

Para crear un usuario de CU nuevo
  1. Utilice la herramienta de configuración para actualizar la configuración de la CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Iniciar la CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Inicie sesión en el HSM como un usuario CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Asegúrese de que el número de conexiones que las listas de la CMU coincidan con el número de HSM del clúster. Si no, cierra sesión y vuelve a empezar.

  4. Se usacreateUser para crear un usuario de CU nombradoexample_user con una contraseña depassword1.

    aws-cloudhsm>createUser CU example_user password1

    La CMU le pregunta acerca de la operación de creación de usuario.

    *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
  5. Escriba y.

Para obtener más informacióncreateUser, consulte CreateUser.

UselistUsers el comando para enumerar todos los usuarios del clúster. No tiene que iniciar sesión para ejecutarlistUsers y todos los tipos de usuarios pueden enumerar los usuarios.

Para enumerar todos los usuarios del clúster
  1. Utilice la herramienta de configuración para actualizar la configuración de la CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Iniciar la CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Se usalistUsers para enumerar todos los usuarios del clúster.

    aws-cloudhsm>listUsers

    La CMU muestra todos los usuarios del clúster.

    Users on server 0(10.0.2.9): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 AU app_user NO 0 NO 2 CO example_officer NO 0 NO 3 CU example_user NO 0 NO Users on server 1(10.0.3.11): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 AU app_user NO 0 NO 2 CO example_officer NO 0 NO 3 CU example_user NO 0 NO Users on server 2(10.0.1.12): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 AU app_user NO 0 NO 2 CO example_officer NO 0 NO 3 CU example_user NO 0 NO

Para obtener más información sobrelistUsers, consulte ListUsers.

Se usachangePswd para cambiar una contraseña.

Los tipos de usuario y las contraseñas distinguen entre mayúsculas y minúsculas, pero los nombres de usuario no distinguen mayúsculas de minúsculas.

El CO, el usuario criptográfico (CU) y el usuario del dispositivo (AU) pueden cambiar su propia contraseña. Para cambiar la contraseña de otro usuario, debe iniciar sesión como CO. No puede cambiar la contraseña de un usuario que ha iniciado sesión actualmente.

Para cambiar su propia contraseña
  1. Utilice la herramienta de configuración para actualizar la configuración de la CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Iniciar la CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Inicie sesión en el HSM.

    aws-cloudhsm>loginHSM CO admin co12345

    Asegúrese de que el número de conexiones que las listas de la CMU coincidan con el número de HSM del clúster. Si no, cierra sesión y vuelve a empezar.

  4. changePswdÚselo para cambiar su propia contraseña.

    aws-cloudhsm>changePswd CO example_officer <new password>

    La CMU le pregunta acerca de la operación de cambio de contraseña.

    *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
  5. Escriba y.

    La CMU le pregunta acerca de la operación de cambio de contraseña.

    Changing password for example_officer(CO) on 3 nodes
Para cambiar la contraseña de otro usuario
  1. Utilice la herramienta de configuración para actualizar la configuración de la CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Iniciar la CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Inicie sesión en el HSM como un usuario CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Asegúrese de que el número de conexiones que las listas de la CMU coincidan con el número de HSM del clúster. Si no, cierra sesión y vuelve a empezar.

  4. Se usachangePswd para cambiar la contraseña de otro usuario.

    aws-cloudhsm>changePswd CU example_user <new password>

    La CMU le pregunta acerca de la operación de cambio de contraseña.

    *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
  5. Escriba y.

    La CMU le pregunta acerca de la operación de cambio de contraseña.

    Changing password for example_user(CU) on 3 nodes

Para obtener más información sobrechangePswd, consulte changePswd.

Se usadeleteUser para eliminar un usuario. Debe iniciar sesión como CO para eliminar otro usuario.

sugerencia

No puedes eliminar los usuarios criptográficos (CU) que poseen claves.

Para eliminar un usuario
  1. Utilice la herramienta de configuración para actualizar la configuración de la CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Iniciar la CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Inicie sesión en el HSM como un usuario CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Asegúrese de que el número de conexiones que las listas de la CMU coincidan con el número de HSM del clúster. Si no, cierra sesión y vuelve a empezar.

  4. Se usadeleteUser para eliminar un usuario.

    aws-cloudhsm>deleteUser CO example_officer

    La CMU elimina el usuario.

    Deleting user example_officer(CO) on 3 nodes deleteUser success on server 0(10.0.2.9) deleteUser success on server 1(10.0.3.11) deleteUser success on server 2(10.0.1.12)

Para obtener más información sobredeleteUser, consulte deleteUser.