Associez AWS CloudHSM des utilisateurs à des clés en utilisant CMU - AWS CloudHSM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Associez AWS CloudHSM des utilisateurs à des clés en utilisant CMU

Utilisez la registerQuorumPubKey commande du fichier AWS CloudHSM cloudhs_mgmt_util pour associer les utilisateurs du module de sécurité matérielle (HSM) à des paires de clés asymétriques de -2048. RSA Une fois que vous avez associé HSM des utilisateurs à des clés, ces utilisateurs peuvent utiliser la clé privée pour approuver les demandes de quorum et le cluster peut utiliser la clé publique enregistrée pour vérifier que la signature provient de l'utilisateur. Pour plus d'informations sur l'authentification par quorum, consultez Gestion de l'authentification par quorum (contrôle d'accès M sur N).

Astuce

Dans la AWS CloudHSM documentation, l'authentification par quorum est parfois appelée M of N (MoFN), ce qui signifie un minimum de M approbateurs sur un nombre total de N approbateurs.

Type utilisateur

Les types d'utilisateur suivants peuvent exécuter cette commande.

  • Responsables de chiffrement (CO)

Syntaxe

Comme cette commande n'a pas de paramètres nommés, vous devez entrer les arguments dans l'ordre spécifié dans le diagramme de syntaxe.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>

Exemples

Cet exemple montre comment utiliser registerQuorumPubKey pour enregistrer les responsables de chiffrement (CO) en tant qu'approbateurs sur les demandes d'authentification par quorum. Pour exécuter cette commande, vous devez disposer d'une RSA paire de clés asymétrique -2048, d'un jeton signé et d'un jeton non signé. Pour plus d'informations sur les autres conditions requises, consultez Arguments.

Exemple : enregistrer un HSM utilisateur pour l'authentification par quorum

Cet exemple enregistre un CO nommé quorum_officer en tant qu’approbateur pour l'authentification par quorum.

aws-cloudhsm> registerQuorumPubKey CO <quorum_officer> </path/to/quorum_officer.token> </path/to/quorum_officer.token.sig> </path/to/quorum_officer.pub> *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y registerQuorumPubKey success on server 0(10.0.0.1)

La commande finale utilise la listUserscommande pour vérifier qu'il quorum_officer est enregistré en tant qu'utilisateur MoFN.

aws-cloudhsm> listUsers Users on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO quorum_officer YES 0 NO

Arguments

Comme cette commande n'a pas de paramètres nommés, vous devez entrer les arguments dans l'ordre spécifié dans le diagramme de syntaxe.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>
<type-utilisateur>

Spécifie le type d'utilisateur. Ce paramètre est obligatoire.

Pour des informations détaillées sur les types d'utilisateurs sur unHSM, consultezHSMtypes d'utilisateurs pour AWS CloudHSM Management Utility.

Valeurs valides :

  • CO : les responsables de chiffrement peuvent gérer les utilisateurs, mais ne peuvent pas gérer les clés.

Obligatoire : oui

<nom-utilisateur>

Spécifie un nom convivial pour l'utilisateur. La longueur maximale est de 31 caractères. Le seul caractère spécial autorisé est un trait de soulignement ( _ ).

Vous ne pouvez pas modifier le nom d'un utilisateur après l'avoir créé. Dans les commandes cloudhsm_mgmt_util, le type d'utilisateur et le mot de passe sont sensibles à la casse, mais le nom d'utilisateur ne l'est pas.

Obligatoire : oui

<registration-token>

Spécifie le chemin d'accès à un fichier contenant un jeton d'enregistrement non signé. Peut avoir n'importe quelle donnée aléatoire d'une taille de fichier maximale de 245 octets. Pour plus d'informations sur la création d'un jeton d'enregistrement non signé, voir Créer et signer un jeton d'enregistrement.

Obligatoire : oui

<signed-registration-token>

Spécifie le chemin d'accès à un fichier contenant le hachage signé par le PKCS mécanisme SHA256 _ du jeton d'enregistrement. Pour plus d'informations, voir Créer et signer un jeton d'enregistrement.

Obligatoire : oui

<public-key>

Spécifie le chemin d'accès à un fichier contenant la clé publique d'une RSA paire de clés asymétrique -2048. Utilisez la clé privée pour signer le jeton d'enregistrement. Pour plus d'informations, consultez la section Création d'une paire de RSA clés.

Obligatoire : oui

Note

Le cluster utilise la même clé pour l'authentification par quorum et pour l'authentification à deux facteurs (2FA). Cela signifie que vous ne pouvez pas faire pivoter une clé de quorum pour un utilisateur pour lequel l'authentification à deux facteurs est activée à l’aide de registerQuorumPubKey. Pour faire pivoter la clé, vous devez utiliser changePswd. Pour plus d'informations sur l'utilisation de l'authentification par quorum et de l'authentification 2FA, consultez Authentification par quorum et 2FA.

Rubriques en relation