Utilisation de la CLI CloudHSM pour gérer l'authentification par quorum (contrôle d'accès M sur N) - AWS CloudHSM
Présentation de l'authentification par quorum avec stratégie de signature par jetonDétails supplémentaires concernant l'authentification par quorum

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de la CLI CloudHSM pour gérer l'authentification par quorum (contrôle d'accès M sur N)

Les HSM de votre AWS CloudHSM cluster prennent en charge l'authentification par quorum, également connue sous le nom de contrôle d'accès M of N. Avec l'authentification par quorum, aucun utilisateur individuel sur le HSM ne peut effectuer d'opérations contrôlées par quorum sur le HSM. À la place, un nombre minimal d'utilisateurs HSM (au moins 2) doivent coopérer pour effectuer ces opérations. Avec l'authentification par quorum, vous pouvez ajouter une couche de protection supplémentaire en demandant l'approbation de plusieurs utilisateurs HSM.

L'authentification par quorum peut contrôler les opérations suivantes :

Les rubriques suivantes fournissent plus d'informations sur l'authentification par quorum dans AWS CloudHSM.

Rubriques

Présentation de l'authentification par quorum avec stratégie de signature par jeton

Les étapes suivantes résument les processus d'authentification par quorum. Pour connaître les étapes et les outils spécifiques, consultez Utilisation de l'authentification par quorum pour les administrateurs.

  1. Chaque utilisateur HSM crée une clé asymétrique pour la signature. Les utilisateurs s'en chargent en dehors du HSM, en veillant à protéger la clé de manière appropriée.

  2. Chaque utilisateur HSM se connecte au HSM et enregistre la partie publique de sa clé de signature (la clé publique) avec le HSM.

  3. Lorsqu'un utilisateur HSM veut effectuer une opération contrôlée par quorum, il se connecte au HSM et obtient un jeton de quorum.

  4. L'utilisateur HSM donne le jeton de quorum à un ou plusieurs autres utilisateurs HSM et demande leur approbation.

  5. Les autres utilisateurs HSM approuvent en utilisant leurs clés pour signer de façon chiffrée le jeton de quorum. Cela se produit en dehors du HSM.

  6. Lorsque l'utilisateur du HSM dispose du nombre d'approbations requis, il se connecte au HSM et exécute l'opération de contrôle du quorum avec l'argument --approval, en fournissant le fichier de jeton de quorum signé, qui contient toutes les approbations nécessaires (signatures).

  7. Le HSM utilise les clés publiques enregistrées de chaque signataire pour vérifier les signatures. Si les signatures sont valides, le HSM approuve le jeton et l'opération contrôlée par le quorum est exécutée.

Détails supplémentaires concernant l'authentification par quorum

Notez les informations supplémentaires suivantes sur l'utilisation de l'authentification par quorum dans AWS CloudHSM.

  • Un utilisateur HSM peut signer son propre jeton de quorum, c'est-à-dire que l'utilisateur demandeur peut fournir l'une des approbations requises pour l'authentification par quorum.

  • Vous choisissez le nombre minimal d'approbateurs de quorum pour les opérations contrôlées par quorum. Le plus petit nombre que vous pouvez choisir est deux (2), et le plus grand nombre que vous pouvez choisir est huit (8).

  • Le HSM peut stocker jusqu'à 1 024 jetons de quorum. Si le HSM possède déjà 1 024 jetons lorsque vous essayez d'en créer un nouveau, le HSM efface l'un des jetons ayant expiré. Par défaut, les jetons expirent dix minutes après leur création.

  • Si l'authentification MFA est activée, le cluster utilise la même clé pour l'authentification par quorum et pour l'authentification multifactorielle (MFA). Pour plus d'informations sur l'utilisation de l'authentification par quorum et de l'authentification 2FA, consultez la section Utilisation de la CLI CloudHSM pour gérer l'authentification MFA.

  • Chaque HSM ne peut contenir qu'un seul jeton par service à la fois.