Usar la Utilidad de administración de CloudHSM (CMU) para administrar usuarios - AWS CloudHSM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Usar la Utilidad de administración de CloudHSM (CMU) para administrar usuarios

En este tema se proporcionan step-by-step instrucciones sobre la administración de los usuarios del módulo de seguridad de hardware (HSM) con CloudHSM Management Utility (CMU), una herramienta de línea de comandos que se incluye con el SDK del cliente. Para obtener más información acerca de los usuarios de CMU o HSM, consulte Utilidad de administración de CloudHSM y Comprender los usuarios de HSM.

Comprender la administración de usuarios de HSM con CMU

Para administrar usuarios de HSM, inicie sesión en el HSM con el nombre de usuario y la contraseña de un responsable de criptografía (CO). Solo los CO pueden administrar otros usuarios. El HSM contiene un CO predeterminado llamado admin. Usted estableció la contraseña para admin cuando activó el clúster.

Para utilizar la CMU, debe usar la herramienta de configuración para actualizar la configuración local. La CMU crea su propia conexión con el clúster y esta conexión no es compatible con el clúster. Para realizar un seguimiento de la información del clúster, la CMU mantiene un archivo de configuración local. Esto significa que cada vez que utilice la CMU, primero debe actualizar el archivo de configuración ejecutando la herramienta de línea de comandos configurar con el parámetro --cmu. Si usa la versión 3.2.1 o anteriores de Client SDK, debe usar un parámetro diferente a --cmu. Para obtener más información, consulte Usar la CMU con la versión 3.2.1 y anteriores de Client SDK.

El parámetro --cmu solicita agregar la dirección IP de un HSM en su clúster. Si tiene varios HSM, puede usar cualquier dirección IP. Esto garantiza que la CMU pueda propagar cualquier cambio que realice en todo el clúster. Recuerde que la CMU usa el archivo local para rastrear la información del clúster. Si el clúster ha cambiado desde la última vez que utilizó la CMU desde un host concreto, debe añadir esos cambios al archivo de configuración local almacenado en ese host. Nunca añada ni elimine un HSM mientras esté utilizando la CMU.

Para obtener una dirección IP para un HSM (consola)
  1. Abra la AWS CloudHSM consola en https://console.aws.amazon.com/cloudhsm/home.

  2. Para cambiar la región de AWS, utilice el selector de regiones en la esquina superior derecha de la página.

  3. Para abrir la página de detalles del clúster, en la tabla de clústeres, elija el ID del clúster.

  4. Para obtener la dirección IP, vaya a la pestaña HSM y elija una de las direcciones IP que aparecen en la lista Dirección IP de ENI.

Para obtener una dirección IP para un HSM () AWS CLI
  • Obtenga la dirección IP de un HSM mediante el comando describe-clusters del AWS CLI. En el resultado del comando, la dirección IP de los HSM son los valores de EniIp.

    $ aws cloudhsmv2 describe-clusters { "Clusters": [ { ... } "Hsms": [ { ... "EniIp": "10.0.0.9", ... }, { ... "EniIp": "10.0.1.6", ...

Usar la CMU con la versión 3.2.1 y anteriores de Client SDK

Con la versión Client SDK 3.3.0, AWS CloudHSM añadió la compatibilidad con el parámetro --cmu, lo que simplifica el proceso de actualización del archivo de configuración de la CMU. Si utiliza una versión de CMU de 3.2.1 o anterior del Client SDK, debe seguir utilizando los parámetros -a y -m para actualizar el archivo de configuración. Para obtener más información acerca de estos parámetros, consulte Herramientas de configuración .

Descargar la Utilidad de administración de CloudHSM

La última versión de CMU está disponible para las tareas de administración de usuarios de HSM, tanto si utiliza Client SDK 5 como Client SDK 3.

Descarga e instalación de la CMU
  • Descargue e instale la CMU.

    Amazon Linux
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL6/cloudhsm-mgmt-util-latest.el6.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el6.x86_64.rpm
    Amazon Linux 2
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    CentOS 7.8+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    CentOS 8.3+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    RHEL 7.9+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    RHEL 8.3+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    Ubuntu 16.04 LTS
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Xenial/cloudhsm-mgmt-util_latest_amd64.deb
    $ sudo apt install ./cloudhsm-mgmt-util_latest_amd64.deb
    Ubuntu 18.04 LTS
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Bionic/cloudhsm-mgmt-util_latest_u18.04_amd64.deb
    $ sudo apt install ./cloudhsm-mgmt-util_latest_u18.04_amd64.deb
    Windows Server 2012
    1. Descargue la Utilidad de administración de CloudHSM.

    2. Ejecute el instalador de CMU (AWSCloudHSMManagementUtil-latest.msi) con privilegios administrativos de Windows.

    Windows Server 2012 R2
    1. Descargue la Utilidad de administración de CloudHSM.

    2. Ejecute el instalador de CMU (AWSCloudHSMManagementUtil-latest.msi) con privilegios administrativos de Windows.

    Windows Server 2016
    1. Descargue la Utilidad de administración de CloudHSM.

    2. Ejecute el instalador de CMU (AWSCloudHSMManagementUtil-latest.msi) con privilegios administrativos de Windows.

¿Cómo administrar los usuarios de HSM con CMU?

En esta sección se incluyen comandos básicos para administrar los usuarios de HSM con CMU.

Utilice createUser para crear nuevos usuarios en el HSM. Debe iniciar sesión como CO para crear un usuario.

Para crear un nuevo usuario
  1. Utilice la herramienta de configuración para actualizar la configuración de la CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>
  2. Iniciar CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Inicie sesión en HSM como usuario CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Asegúrese de que la cantidad de conexiones que enumera la CMU coincida con la cantidad de HSM del clúster. Si no es así, cierre la sesión y comience de nuevo.

  4. Utilice createUser para crear un usuario CO cuyo nombre sea example_officer y la contraseña sea password1.

    aws-cloudhsm>createUser CO example_officer password1

    La CMU le solicita información sobre la operación de creación de usuario.

    *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
  5. Escriba y.

Para crear un nuevo usuario CU
  1. Utilice la herramienta de configuración para actualizar la configuración de la CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>
  2. Iniciar CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Inicie sesión en HSM como usuario CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Asegúrese de que la cantidad de conexiones que enumera la CMU coincida con la cantidad de HSM del clúster. Si no es así, cierre la sesión y comience de nuevo.

  4. Utilice createUser para crear un nombre de usuario de CU example_user con una contraseña de password1.

    aws-cloudhsm>createUser CU example_user password1

    La CMU le solicita información sobre la operación de creación de usuario.

    *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
  5. Escriba y.

Para obtener más información sobre createUser, consulte createUser.

Utilice el comando listUsers para mostrar a todos los usuarios en el clúster. No es necesario iniciar sesión para ejecutar listUsers y todos los tipos de usuarios pueden enumerarlos.

Para enumerar todos los usuarios en el clúster
  1. Utilice la herramienta de configuración para actualizar la configuración de la CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>
  2. Iniciar CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Ejecute listUsers para listar todos los usuarios del clúster.

    aws-cloudhsm>listUsers

    En la CMU, se muestran todos los usuarios del clúster.

    Users on server 0(10.0.2.9): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 AU app_user NO 0 NO 2 CO example_officer NO 0 NO 3 CU example_user NO 0 NO Users on server 1(10.0.3.11): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 AU app_user NO 0 NO 2 CO example_officer NO 0 NO 3 CU example_user NO 0 NO Users on server 2(10.0.1.12): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 AU app_user NO 0 NO 2 CO example_officer NO 0 NO 3 CU example_user NO 0 NO

Para obtener más información sobre listUsers, consulte listUsers..

Utilice changePswd para cambiar una contraseña.

En los tipos de usuario y las contraseñas se distingue entre mayúsculas y minúsculas, pero no en los nombres de usuario.

Los CO, los usuarios de criptografía (CU) y los usuarios de dispositivos (AU) solo pueden cambiar su propia contraseña. Para cambiar la contraseña de otro usuario, debe iniciar sesión como CO. No puede cambiar la contraseña de un usuario que actualmente haya iniciado sesión.

Para cambiar su propia contraseña
  1. Utilice la herramienta de configuración para actualizar la configuración de la CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>
  2. Iniciar CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Iniciar sesión en HSM.

    aws-cloudhsm>loginHSM CO admin co12345

    Asegúrese de que la cantidad de conexiones que enumera la CMU coincida con la cantidad de HSM del clúster. Si no es así, cierre la sesión y comience de nuevo.

  4. Utilice changePswd para cambiar su propia contraseña.

    aws-cloudhsm>changePswd CO example_officer <new password>

    CMU le preguntará acerca de la operación de cambio de contraseña.

    *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
  5. Escriba y.

    CMU le preguntará acerca de la operación de cambio de contraseña.

    Changing password for example_officer(CO) on 3 nodes
Para cambiar la contraseña de otro usuario
  1. Utilice la herramienta de configuración para actualizar la configuración de la CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>
  2. Iniciar CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Inicie sesión en HSM como usuario CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Asegúrese de que la cantidad de conexiones que enumera la CMU coincida con la cantidad de HSM del clúster. Si no es así, cierre la sesión y comience de nuevo.

  4. Utilice changePswd para cambiar la contraseña de otro usuario.

    aws-cloudhsm>changePswd CU example_user <new password>

    CMU le preguntará acerca de la operación de cambio de contraseña.

    *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
  5. Escriba y.

    CMU le preguntará acerca de la operación de cambio de contraseña.

    Changing password for example_user(CU) on 3 nodes

Para más información acerca de changePswd, consulte changePswd .

Ejecute deleteUser para eliminar un usuario. Debe iniciar sesión como CO para eliminar otro usuario.

sugerencia

No puede eliminar a los usuarios de criptografía (CU) que poseen claves.

Para eliminar un usuario
  1. Utilice la herramienta de configuración para actualizar la configuración de la CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>
  2. Iniciar CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Inicie sesión en HSM como usuario CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Asegúrese de que la cantidad de conexiones que enumera la CMU coincida con la cantidad de HSM del clúster. Si no es así, cierre la sesión y comience de nuevo.

  4. Ejecute deleteUser para eliminar un usuario.

    aws-cloudhsm>deleteUser CO example_officer

    CMU elimina el usuario.

    Deleting user example_officer(CO) on 3 nodes deleteUser success on server 0(10.0.2.9) deleteUser success on server 1(10.0.3.11) deleteUser success on server 2(10.0.1.12)

Para obtener más información acerca de deleteUser, consulte deleteUser.