registerQuorumPubClave - AWS CloudHSM
Tipo de usuarioSintaxisEjemplosArgumentosTemas relacionados de

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

registerQuorumPubClave

El comando registerQuorumPubKey en cloudhsm_mgmt_util asocia usuarios del módulo de seguridad de hardware (HSM) con pares de claves asimétricas RSA-2048. Una vez que asocie los usuarios de HSM a las claves, esos usuarios pueden usar la clave privada para aprobar las solicitudes de cuórum y el clúster puede usar la clave pública registrada para comprobar que la firma proviene del usuario. Para obtener más información sobre la autenticación de cuórum, consulte Administrar la autenticación de cuórum (control de acceso M de N).

sugerencia

En la AWS CloudHSM documentación, la autenticación de quórum a veces se denomina M de N (MoFN), lo que significa un mínimo de M aprobadores de un número total de N aprobadores.

Tipo de usuario

Los tipos de usuarios siguientes pueden ejecutar este comando.

  • Responsables de criptografía (CO)

Sintaxis

Dado que estos comandos no tienen parámetros designados, debe introducir los argumentos en el orden especificado en los diagramas de sintaxis.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>

Ejemplos

En este ejemplo, se muestra cómo utilizar registerQuorumPubKey para registrar los responsables de criptografía (CO) como aprobadores en las solicitudes de autenticación por cuórum. Para ejecutar este comando, debe tener un par de claves asimétrico RSA-2048, un token firmado y un token no firmado. Para obtener más información acerca de los requisitos, consulte Argumentos.

ejemplo : Registre un usuario de HSM para la autenticación de quórum

En este ejemplo se registra un CO denominado quorum_officer como aprobador de la autenticación de cuórum. 

aws-cloudhsm> registerQuorumPubKey CO <quorum_officer> </path/to/quorum_officer.token> </path/to/quorum_officer.token.sig> </path/to/quorum_officer.pub>

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
registerQuorumPubKey success on server 0(10.0.0.1)

El comando final usa el comando listUsers para comprobar que quorum_officer está registrado como usuario de MoFN. 

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              quorum_officer                          YES               0               NO

Argumentos

Dado que estos comandos no tienen parámetros designados, debe introducir los argumentos en el orden especificado en los diagramas de sintaxis.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>
<user-type>

Especifica el tipo de usuario. Este parámetro es obligatorio.

Para obtener información detallada sobre los tipos de usuario en un HSM, consulte Más información sobre los usuarios de HSM.

Valores válidos:

  • CO: los responsables de criptografía pueden administrar usuarios, pero no pueden administrar claves.

Obligatorio: sí

<user-name>

Especifica un nombre fácil de recordar para el usuario. La longitud máxima es de 31 caracteres. El único carácter especial permitido es un guion bajo (_).

No puede cambiar el nombre de un usuario después de crearlo. En los comandos cloudhsm_mgmt_util, el tipo de usuario y la contraseña distinguen entre mayúsculas y minúsculas, pero el nombre de usuario no.

Obligatorio: sí

<registration-token>

Especifica la ruta a un archivo que contiene un token de registro sin firmar. Puede contener cualquier dato aleatorio con un tamaño máximo de archivo de 245 bytes. Para obtener más información sobre la creación de un token de registro sin firmar, consulte Crear y firmar un token de registro.

Obligatorio: sí

<signed-registration-token>

Especifica la ruta a un archivo que contiene el hash firmado por el mecanismo SHA256_PKCS del token de registro. Para obtener más información, consulte Crear y firmar un token de registro.

Obligatorio: sí

<public-key>

Especifica la ruta a un archivo que contiene la clave pública de un par de claves RSA-2048 asimétricas. Utilice la clave privada para firmar el token de registro. Para obtener más información, consulte Crear un par de claves RSA.

Obligatorio: sí

nota

El clúster usa la misma clave para la autenticación de cuórum y para la autenticación de dos factores (2FA). Esto significa que no puede rotar una clave de cuórum para un usuario que tenga habilitada la autenticación de dos factores con registerQuorumPubKey. Para rotar la clave, debe usar changePswd. Para obtener más información sobre el uso de la autenticación de cuórum y la 2FA, consulte Autenticación de cuórum y 2FA.

Temas relacionados de