Modifier la valeur minimale du quorum pour les responsables de chiffrement - AWS CloudHSM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Modifier la valeur minimale du quorum pour les responsables de chiffrement

Après avoir défini la valeur minimale du quorum de sorte que les responsables de chiffrement puissent utiliser l'authentification par quorum, vous pouvez souhaiter modifier la valeur minimale du quorum. Le HSM vous permet de modifier la valeur minimale du quorum uniquement lorsque le nombre d'approbateurs est égal ou supérieur à la valeur minimale du quorum. Par exemple, si la valeur minimale du quorum est deux, au moins deux responsables de chiffrement doivent donner leur approbation pour une modification de la valeur minimale du quorum.

Pour obtenir l'approbation du quorum en vue de modifier la valeur minimale du quorum, vous avez besoin d'un jeton de quorum pour la commande setMValue (service 4). Pour obtenir un jeton de quorum pour la commande setMValue (service 4), la valeur minimale du quorum pour service 4 doit être supérieure à un. Cela signifie que, avant de pouvoir modifier la valeur minimale du quorum pour les responsables de chiffrement (service 3), vous devrez peut-être modifier la valeur minimale du quorum pour service 4.

Le tableau suivant répertorie les identifiants de service HSM ainsi que leurs noms, descriptions et commandes incluses dans le service.

Identifiant du service Service Name Description du service Commandes HSM
3 USER_MGMT Gestion des utilisateurs HSM

  • createUser

  • deleteUser

  • changePswd (s'applique uniquement lors de la modification du mot de passe d'un autre utilisateur HSM)
4 MISC_CO Service CO divers

  • setMValue
Pour modifier la valeur minimale du quorum pour les responsables de chiffrement

  1. Utilisez la commande suivante pour démarrer l'outil de ligne de commande cloudhsm_mgmt_util.

    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg

  2. Utilisez la commande loginHSM pour vous connecter aux HSM en tant que CO. Pour plus d’informations, consultez Gestion des utilisateurs HSM avec l'Utilitaire de gestion CloudHSM (CMU).

  3. Utilisez la commande getMValue pour obtenir la valeur minimale du quorum pour service 3. Pour plus d'informations, consultez l'exemple suivant.

  4. Utilisez la commande getMValue pour obtenir la valeur minimale du quorum pour service 4. Pour plus d'informations, consultez l'exemple suivant.

  5. Si la valeur minimale du quorum pour service 4 est inférieure à celle pour service 3, utilisez la commande setMValue pour modifier la valeur spécifiée pour service 4. Indiquez, pour service 4, une valeur égale ou supérieure à celle utilisée pour service 3. Pour plus d'informations, consultez l'exemple suivant.

  6. Obtenez un jeton de quorum, en veillant à spécifier le service 4 en tant que service pour lequel vous pouvez utiliser le jeton.

  7. Obtenir des approbations (signatures) de la part d'autres responsables de chiffrement.

  8. Approuver le jeton sur le HSM.

  9. Utilisez la commande setMValue pour modifier la valeur minimale du quorum pour service 3 (opérations de gestion des utilisateurs réalisées par les responsables de chiffrement).

Exemple - Obtenir des valeurs minimale de quorum et modifier la valeur pour service 4

L'exemple de commande suivant montre que la valeur minimale du quorum pour service 3 est actuellement deux.

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

L'exemple de commande suivant montre que la valeur minimale du quorum pour service 4 est actuellement un.

aws-cloudhsm>getMValue 4
MValue of service 4[MISC_CO] on server 0 : [1]
MValue of service 4[MISC_CO] on server 1 : [1]

Pour modifier la valeur minimale du quorum pour service 4, utilisez la commande setMValue pour définir une valeur égale ou supérieure à celle utilisée pour service 3. L'exemple suivant définit la valeur minimale du quorum pour service 4 à deux (2), valeur identique à celle définie pour service 3.

aws-cloudhsm>setMValue 4 2
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
Setting M Value(2) for 4 on 2 nodes

Les commandes suivantes montrent que la valeur minimale du quorum est désormais deux pour service 3 et service 4.

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
aws-cloudhsm>getMValue 4
MValue of service 4[MISC_CO] on server 0 : [2]
MValue of service 4[MISC_CO] on server 1 : [2]