Uso de CloudHSM Management Utility (CMU) para administrar usuarios - AWS CloudHSM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de CloudHSM Management Utility (CMU) para administrar usuarios

Este tema proporciona instrucciones paso a paso sobre la administración de usuarios del módulo de seguridad de hardware (HSM) con CloudHSM Management Utility (CMU), una herramienta de línea de comandos que viene con el SDK de cliente. Para obtener más información acerca de los usuarios de CMU o HSM, consulteUtilidad de administración CloudHSM HyDescripción de usuarios de HSM.

Descripción de la administración de usuarios de HSM con CMU

Para administrar usuarios de HSM, debe iniciar sesión en el HSM con el nombre de usuario y la contraseña de unResponsable criptográfico(CO). Solo los CO pueden administrar usuarios. El HSM contiene un CO predeterminado llamado admin. Establece la contraseña paraadminCuandoActivación del clúster.

Para utilizar CMU, debe usar la herramienta de configuración para actualizar la configuración local. CMU crea su propia conexión al clúster y esta conexión esnoconsciente del clúster. Para realizar un seguimiento de la información del clúster, CMU mantiene un archivo de configuración local. Esto significa quecada vezutilice CMU, primero debe actualizar el archivo de configuración ejecutando el comandoconfigureherramienta de línea de comandos con la--cmuParámetro. Si utiliza Client SDK 3.2.1 o una versión anterior, debe utilizar un parámetro diferente a--cmu. Para obtener más información, consulte Uso de CMU con cliente SDK 3.2.1 y versiones anteriores.

La--cmuRequiere que añada la dirección IP de un HSM en su clúster de. Si tiene varios HSM, puede usar cualquier dirección IP. Esto garantiza que CMU pueda propagar los cambios que realice en todo el clúster. Recuerde que CMU utiliza su archivo local para realizar un seguimiento de la información del clúster. Si el clúster ha cambiado desde la última vez que utilizó CMU desde un host concreto, debe agregar esos cambios al archivo de configuración local almacenado en ese host. Nunca añada ni elimine un HSM mientras esté utilizando CMU.

Para obtener una dirección IP para un HSM (consola)

  1. Abra el iconoAWS CloudHSMConsola enhttps://console.aws.amazon.com/cloudhsm/.

  2. Para cambiar la región de AWS, utilice el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Clusters (Clústeres).

  4. Para abrir la página de detalles del clúster, en la tabla de clústeres, elija el Id. de clúster.

  5. Para obtener la dirección IP, en la pestaña HSM, elija una de las direcciones IP enumeradas enDirección IP de ENI.

Para obtener una dirección IP para un HSM (AWS CLI)

  • Obtenga la dirección IP de un HSM mediante eldescribe-clusterscomando desde laAWS CLI. En la salida del comando, la dirección IP de los HSM son los valores deEniIp.

    $ aws cloudhsmv2 describe-clusters { "Clusters": [ { ... } "Hsms": [ { ... "EniIp": "10.0.0.9", ... }, { ... "EniIp": "10.0.1.6", ...

Uso de CMU con cliente SDK 3.2.1 y versiones anteriores

Con SDK del cliente 3.3.0,AWS CloudHSMañadió compatibilidad con la--cmu, que simplifica el proceso de actualización del archivo de configuración para CMU. Si está utilizando una versión de CMU de Client SDK 3.2.1 o anterior, debe seguir utilizando el-ay-mpara actualizar el archivo de configuración. Para obtener más información acerca de estos parámetros, consulteHerramienta de configuración.

Descargar CloudHSM Management Utility

La versión más reciente de CMU está disponible para las tareas de administración de usuarios de HSM, tanto si utiliza Client SDK 5 como Client SDK 3.

Para descargar e instalar CMU

  • Descargue e instale CMU.

    Amazon Linux
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL6/cloudhsm-mgmt-util-latest.el6.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el6.x86_64.rpm
    Amazon Linux 2
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    CentOS 7.8+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    CentOS 8.3+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    RHEL 7.8+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    RHEL 8.3+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    Ubuntu 16.04 LTS
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Xenial/cloudhsm-mgmt-util_latest_amd64.deb
    $ sudo apt install ./cloudhsm-mgmt-util_latest_amd64.deb
    Ubuntu 18.04 LTS
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Bionic/cloudhsm-mgmt-util_latest_u18.04_amd64.deb
    $ sudo apt install ./cloudhsm-mgmt-util_latest_u18.04_amd64.deb
    Windows Server 2012
    1. DescargarCloudHSM de administración.

    2. Ejecute el instalador de CMU (AWSCloudHSMManagementUtil-latest.msi) con privilegios administrativos de Windows.

    Windows Server 2012 R2
    1. DescargarCloudHSM de administración.

    2. Ejecute el instalador de CMU (AWSCloudHSMManagementUtil-latest.msi) con privilegios administrativos de Windows.

    Windows Server 2016
    1. DescargarCloudHSM de administración.

    2. Ejecute el instalador de CMU (AWSCloudHSMManagementUtil-latest.msi) con privilegios administrativos de Windows.

Cómo administrar usuarios de HSM con CMU

En esta sección se incluyen comandos básicos para la administración de usuarios de HSM con CMU.

UsarcreateUserPara crear nuevos usuarios en el HSM. Debe iniciar sesión como CO para crear un usuario.

Para crear un nuevo usuario de CO

  1. Utilice la herramienta de configuración para actualizar la configuración de CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Iniciar CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Inicie sesión en el HSM como usuario CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Asegúrese de que el número de conexiones de listas de CMU coincide con el número de HSM del clúster. Si no, cierre la sesión y vuelva a empezar.

  4. UsarcreateUserpara crear un usuario CO llamadoexample_officercon una contraseña depassword1.

    aws-cloudhsm>createUser CO example_officer password1

    CMU le pide acerca de la operación de creación de usuario.

    *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
  5. Escriba y.

Para crear un nuevo usuario de CU

  1. Utilice la herramienta de configuración para actualizar la configuración de CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Iniciar CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Inicie sesión en el HSM como usuario CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Asegúrese de que el número de conexiones de listas de CMU coincide con el número de HSM del clúster. Si no, cierre la sesión y vuelva a empezar.

  4. UsarcreateUserpara crear un usuario de CU llamadoexample_usercon una contraseña depassword1.

    aws-cloudhsm>createUser CU example_user password1

    CMU le pide acerca de la operación de creación de usuario.

    *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
  5. Escriba y.

Para obtener más información acerca decreateUser, consultecreateUser.

UsarlistUserspara enumerar todos los usuarios en el clúster. No es necesario iniciar sesión para ejecutarlistUsersy todos los tipos de usuario pueden enumerar usuarios.

Para enumerar todos los usuarios en el clúster

  1. Utilice la herramienta de configuración para actualizar la configuración de CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Iniciar CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. UsarlistUserspara enumerar todos los usuarios en el clúster.

    aws-cloudhsm>listUsers

    CMU enumera todos los usuarios del clúster.

    Users on server 0(10.0.2.9): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO example_officer NO 0 NO 4 CU example_user NO 0 NO Users on server 1(10.0.3.11): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO example_officer NO 0 NO 4 CU example_user NO 0 NO Users on server 2(10.0.1.12): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO example_officer NO 0 NO 4 CU example_user NO 0 NO

    El PCO es el primer CO creado en cada HSM. El PCO se denominaPrimaryCO y este CO tiene los mismos permisos que cualquier otro CO.

Para obtener más información acerca delistUsers, consultelistUsers.

UsarchangePswdpara cambiar una contraseña.

En los tipos de usuario y las contraseñas se distingue entre mayúsculas y minúsculas, pero no en los nombres de usuario

CO, el usuario de Crypto (CU) y el usuario del dispositivo (AU) pueden cambiar su propia contraseña. Para cambiar la contraseña de otro usuario, debe iniciar sesión como CO. No puede cambiar la contraseña de un usuario que haya iniciado sesión en.

Para cambiar su propia contraseña

  1. Utilice la herramienta de configuración para actualizar la configuración de CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Iniciar CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Iniciar sesión en el HSM.

    aws-cloudhsm>loginHSM CO admin co12345

    Asegúrese de que el número de conexiones de listas de CMU coincide con el número de HSM del clúster. Si no, cierre la sesión y vuelva a empezar.

  4. UsarchangePswdPara cambiar su propia contraseña.

    aws-cloudhsm>changePswd CO example_officer <new password>

    CMU le pide acerca de la operación de cambio de contraseña.

    *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
  5. Escriba y.

    CMU le pide acerca de la operación de cambio de contraseña.

    Changing password for example_officer(CO) on 3 nodes

Para cambiar la contraseña de otro usuario

  1. Utilice la herramienta de configuración para actualizar la configuración de CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Iniciar CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Inicie sesión en el HSM como usuario CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Asegúrese de que el número de conexiones de listas de CMU coincide con el número de HSM del clúster. Si no, cierre la sesión y vuelva a empezar.

  4. UsarchangePswdPara cambiar la contraseña de otro usuario.

    aws-cloudhsm>changePswd CU example_user <new password>

    CMU le pide acerca de la operación de cambio de contraseña.

    *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
  5. Escriba y.

    CMU le pide acerca de la operación de cambio de contraseña.

    Changing password for example_user(CU) on 3 nodes

Para obtener más información acerca dechangePswd, consultechangePswd.

UsardeleteUserPara eliminar un usuario. Debe iniciar sesión como CO para eliminar otro usuario.

sugerencia

No puede eliminar los usuarios de criptografía (CU) que poseen claves.

Para eliminar un usuario

  1. Utilice la herramienta de configuración para actualizar la configuración de CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Iniciar CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Inicie sesión en el HSM como usuario CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Asegúrese de que el número de conexiones de listas de CMU coincide con el número de HSM del clúster. Si no, cierre la sesión y vuelva a empezar.

  4. UsardeleteUserPara eliminar un usuario.

    aws-cloudhsm>deleteUser CO example_officer

    CMU elimina el usuario.

    Deleting user example_officer(CO) on 3 nodes deleteUser success on server 0(10.0.2.9) deleteUser success on server 1(10.0.3.11) deleteUser success on server 2(10.0.1.12)

Para obtener más información acerca dedeleteUser, consultedeleteUser.