Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
createUser
La commande createUser de cloudhsm_mgmt_util crée un utilisateur sur les HSM. Seuls les responsables de chiffrement (CO et PRECO) peuvent exécuter cette commande. Lorsque la commande réussit, elle crée l'utilisateur dans tous les HSM du cluster.
Si votre configuration HSM est inexacte, l'utilisateur peut ne pas être créé sur tous les HSM. Pour ajouter l'utilisateur dans tous les HSM où il est manquant, utilisez les commandes syncUser ou createUser uniquement sur les HSM où cet utilisateur est manquant. Pour éviter les erreurs de configuration, exécutez l'outil configure avec l’option -m.
Avant d'exécuter une commande de CMU, vous devez démarrer l’utilitaire CMU et vous connecter au HSM. Veillez à ce que le type d'utilisateur du compte que vous utilisez pour vous connecter puisse exécuter les commandes que vous prévoyez d'utiliser.
Si vous ajoutez ou supprimez des HSM, mettez à jour les fichiers de configuration de l’utilitaire CMU. Sinon, les modifications que vous apportez peuvent ne pas être effectives sur tous les HSM du cluster.
Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
-
Responsables de chiffrement (CO, PRECO)
Syntaxe
Entrez les arguments dans l'ordre indiqué dans le diagramme de syntaxe. Utilisez le paramètre -hpswd pour masquer votre mot de passe. Pour créer un utilisateur CO avec une authentification à deux facteurs (2FA), utilisez le paramètre -2fa et incluez un chemin de fichier. Pour plus d’informations, consultez Arguments.
createUser <user-type> <user-name> <password|-hpswd> [-2fa </path/to/authdata>]
Exemples
Ces exemples montrent comment utiliser createUser pour créer de nouveaux utilisateurs dans vos HSM.
Exemple : Créer un responsable de chiffrement
Cet exemple crée un responsable de chiffrement (CO) sur les HSM d'un cluster. La première commande utilise loginHSM pour vous connecter au HSM en tant que responsable de chiffrement.
aws-cloudhsm>loginHSM CO admin 735782961loginHSM success on server 0(10.0.0.1) loginHSM success on server 1(10.0.0.2) loginHSM success on server 1(10.0.0.3)
La deuxième commande utilise la commande createUser pour créer alice, une nouvelle responsable de chiffrement dans le HSM.
Le message d'avertissement explique que la commande crée des utilisateurs sur tous les HSM du cluster. Toutefois, si la commande échoue sur des HSM, l'utilisateur n'existera pas sur ces HSM. Pour continuer, tapez y.
La sortie indique que le nouvel utilisateur a été créé sur les trois HSM du cluster.
aws-cloudhsm>createUser CO alice 391019314*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User alice(CO) on 3 nodes
Une fois la commande terminée, alice a les mêmes autorisations sur le HSM que l'utilisateur responsable de chiffrement admin, y compris celle de modifier le mot de passe de n'importe quel utilisateur sur les HSM.
La dernière commande utilise la commande listUsers pour vérifier qu'alice existe sur les trois HSM du cluster. La sortie indique également que alice se voit affecter l'ID d'utilisateur 3.. Vous utilisez l'ID utilisateur pour vous identifier alice dans d'autres commandes, telles que findAllKeys.
aws-cloudhsm>listUsersUsers on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.2): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.3): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO
Exemple : Créer un utilisateur de chiffrement
Cet exemple crée un utilisateur de chiffrement (CU), bob, sur le HSM. Les utilisateurs de chiffrement peuvent créer et gérer des clés, mais ils ne peuvent pas gérer les utilisateurs.
Une fois que vous tapez y pour répondre au message d'avertissement, la sortie indique que bob a été créé sur les trois HSM du cluster. Le nouvel utilisateur de chiffrement peut se connecter au HSM pour créer et gérer des clés.
La commande a utilisé la valeur de mot de passe defaultPassword. Ultérieurement, bob ou un responsable de chiffrement quelconque peut utiliser la commande changePswd pour modifier son mot de passe.
aws-cloudhsm>createUser CU bob defaultPassword*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User bob(CU) on 3 nodes
Arguments
Entrez les arguments dans l'ordre indiqué dans le diagramme de syntaxe. Utilisez le paramètre -hpswd pour masquer votre mot de passe. Pour créer un utilisateur CO avec 2FA activé, utilisez le paramètre -2fa et incluez un chemin de fichier. Pour plus d'informations sur l’authentification à deux facteurs, consultez Utilisation de la CMU pour gérer l'authentification à deux facteurs.
createUser <user-type> <user-name> <password|-hpswd> [-2fa </path/to/authdata>]
- <type-utilisateur>
-
Spécifie le type d'utilisateur. Ce paramètre est obligatoire.
Pour plus d'informations sur les types d'utilisateur sur un HSM, consultez Comprendre les utilisateurs HSM.
Valeurs valides :
-
CO : les responsables de chiffrement peuvent gérer les utilisateurs, mais ne peuvent pas gérer les clés.
-
CU : les utilisateurs de chiffrement peuvent créer et gérer des clés, ainsi qu'utiliser ces clés dans des opérations de chiffrement.
L'utilisateur PRECO est converti en CO lorsque vous attribuez un mot de passe lors de l’activation des HSM.
Obligatoire : oui
-
- <nom-utilisateur>
-
Spécifie un nom convivial pour l'utilisateur. La longueur maximale est de 31 caractères. Le seul caractère spécial autorisé est un trait de soulignement ( _ ).
Vous ne pouvez pas modifier le nom d'un utilisateur après l'avoir créé. Dans les commandes cloudhsm_mgmt_util, le type d'utilisateur et le mot de passe sont sensibles à la casse, mais le nom d'utilisateur ne l'est pas.
Obligatoire : oui
- <password | -hpswd >
-
Spécifie un mot de passe pour l'utilisateur. Entrez une chaîne de 7 à 32 caractères. Cette valeur est sensible à la casse. Le mot de passe s'affiche en texte brut lorsque vous le tapez. Pour masquer votre mot de passe, utilisez le paramètre
-hpswdà la place du mot de passe et suivez les instructions.Pour changer un mot de passe d'utilisateur, utilisez changePswd. Tout utilisateur HSM peut modifier son propre mot de passe, mais les utilisateurs CO peuvent changer le mot de passe de n'importe quel utilisateur (de tout type) sur les HSM.
Obligatoire : oui
- [-2fa </path/to/authdata>]
-
Spécifie la création d'un utilisateur CO avec l’authentification à deux facteurs activée. Pour obtenir les données nécessaires à la configuration de l'authentification 2FA, incluez un chemin vers un emplacement dans le système de fichiers avec un nom de fichier après le paramètre
-2fa. Pour plus d'informations sur la configuration et l'utilisation de l’authentification 2FA, consultez Utilisation de la CMU pour gérer l'authentification à deux facteurs.Obligatoire : non
Rubriques en relation
