Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Usar la Utilidad de administración de CloudHSM (CMU) para administrar la autenticación de cuórum (control de acceso M de N)
Los HSM del clúster de AWS CloudHSM admiten la autenticación de cuórum, también conocida como control de acceso M de N. Con la autenticación de cuórum ningún usuario único del HSM puede realizar operaciones controladas mediante cuórum en el HSM. En su lugar, para llevar a cabo estas operaciones debe cooperar un número mínimo de usuarios del HSM (al menos 2). Con la autenticación de cuórum, puede añadir una capa adicional de protección al exigir la aprobación de más de un usuario del HSM.
La autenticación de cuórum puede controlar las siguientes operaciones:
-
Administración de usuarios del HSM realizada mediante responsables de criptografía (CO): creación y eliminación de usuarios de HSM y cambio de la contraseña de otro usuario del HSM. Para obtener más información, consulte Uso de la autenticación de cuórum para responsables de criptografía.
Los siguientes temas contienen más información acerca de la autenticación de cuórum en AWS CloudHSM.
Temas
- Información general sobre la autenticación de cuórum
- Detalles adicionales sobre la autenticación de cuórum
- Uso de la autenticación de cuórum para responsables de criptografía: primera configuración
- Uso de la autenticación de cuórum para responsables de criptografía
- Cambiar el valor mínimo de cuórum para responsables de criptografía
Información general sobre la autenticación de cuórum
En los pasos siguientes se resumen los procesos de autenticación de cuórum. Para informarse de las herramientas y los específicos, consulte Uso de la autenticación de cuórum para responsables de criptografía.
-
Cada usuario del HSM crea una clave asimétrica para la firma. Lo hacen fuera del HSM, teniendo cuidado de proteger la clave adecuadamente.
-
Cada usuario del HSM se conecta al HSM y registra la parte pública de su clave de firma (la clave pública) en el HSM.
-
Cuando un usuario del HSM desea realizar una operación controlada por cuórum, cada usuario inicia sesión en el HSM y obtiene un token de cuórum.
-
El usuario del HSM pasa el token de cuórum a uno o varios usuarios de ese HSM y les pide su aprobación.
-
Los otros usuarios del HSM dan su aprobación utilizando sus claves para firmar criptográficamente el token de cuórum. Esto se produce fuera del HSM.
-
Cuando el usuario del HSM tiene el número necesario de aprobaciones, el mismo usuario inicia sesión en el HSM y entrega el token de quórum y las aprobaciones (firmas) al HSM.
-
El HSM utiliza las claves públicas registradas de cada firmante para verificar las firmas. Si las firmas son válidas, el HSM aprueba el token.
-
Ahora el usuario del HSM ya puede realizar la operación controlada mediante cuórum.
Detalles adicionales sobre la autenticación de cuórum
Tenga en cuenta la siguiente información adicional acerca del uso de la autenticación de cuórum en AWS CloudHSM.
-
Un usuario de HSM puede firmar su propio token de quórum, es decir, el usuario solicitante puede proporcionar una de las aprobaciones necesarias para la autenticación de quórum.
-
Elija el número mínimo de aprobadores de cuórum para las operaciones controladas mediante cuórum. El número más pequeño que puede elegir es dos (2) y el número más grande que puede elegir es ocho (8).
-
El HSM puede almacenar hasta 1024 tokens de cuórum. Si el HSM ya tiene 1024 tokens cuando intenta crear uno nuevo, el HSM eliminará uno de los tokens que haya caducado. De forma predeterminada, los tokens caducan diez minutos después de su creación.
-
El clúster usa la misma clave para la autenticación de cuórum y para la autenticación de dos factores (2FA). Para obtener más información sobre el uso de la autenticación de quorum y la 2FA, consulte Autenticación de cuórum y 2FA.
