Menggunakan CloudHSM Management Utility (CMU) untuk mengelola pengguna - AWS CloudHSM
Memahami manajemen penggunaUnduh Utilitas Manajemen CloudHSMCara mengelola pengguna

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan CloudHSM Management Utility (CMU) untuk mengelola pengguna

Topik ini memberikan step-by-step instruksi tentang mengelola pengguna modul keamanan perangkat keras (HSM) dengan CloudHSM Management Utility (CMU), alat baris perintah yang disertakan dengan Client SDK. Untuk informasi selengkapnya tentang CMU atau pengguna HSM, lihat Utilitas Manajemen CloudHSM dan Memahami pengguna HSM.

Memahami manajemen pengguna HSM dengan CMU

Untuk mengelola pengguna HSM, Anda harus login ke HSM dengan nama pengguna dan kata sandi petugas kriptografi (CO). Hanya CO yang dapat mengelola pengguna. HSM berisi CO default bernama admin. Anda mengatur kata sandi untuk admin ketika Anda mengaktifkan klaster.

Untuk menggunakan CMU, Anda harus menggunakan alat konfigurasi untuk memperbarui konfigurasi lokal. CMU membuat koneksi sendiri ke klaster dan koneksi ini tidak sadar klaster. Untuk melacak informasi klaster, CMU mempertahankan file konfigurasi lokal. Ini berarti bahwa setiap kali Anda menggunakan CMU, Anda harus terlebih dahulu memperbarui file konfigurasi dengan menjalankan konfigurasi alat baris perintah dengan parameter --cmu. Jika Anda menggunakan klien SDK 3.2.1 atau sebelumnya, Anda harus menggunakan parameter yang berbeda dari --cmu. Untuk informasi lebih lanjut, lihat Menggunakan CMU dengan Client SDK 3.2.1 dan sebelumnya.

Parameter --cmu mengharuskan Anda untuk menambahkan alamat IP HSM di klaster Anda. Jika Anda memiliki beberapa HSM, Anda dapat menggunakan alamat IP yang mana saja. Hal ini memastikan CMU dapat menyebarkan perubahan yang Anda buat di seluruh klaster. Ingat bahwa CMU menggunakan file lokal untuk melacak informasi klaster. Jika klaster telah berubah sejak terakhir kali Anda menggunakan CMU dari host tertentu, Anda harus menambahkan perubahan tersebut ke file konfigurasi lokal yang disimpan di host tersebut. Jangan pernah menambahkan atau menghapus HSM saat Anda menggunakan CMU.

Untuk mendapatkan alamat IP untuk HSM (konsol)

  1. Buka AWS CloudHSM konsol di https://console.aws.amazon.com/cloudhsm/home.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Untuk membuka halaman detail klaster, dalam tabel klaster, pilih ID klaster.

  4. Untuk mendapatkan alamat IP, pada tab HSM, pilih salah satu alamat IP yang tercantum di bawah alamat IP ENI.

Untuk mendapatkan alamat IP untuk HSM (CLI)

  • Dapatkan alamat IP HSM dengan menggunakan describe-clusters perintah dari CLI. Dalam output dari perintah, alamat IP dari HSM adalah nilai-nilai dari EniIp. 

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...

Menggunakan CMU dengan Client SDK 3.2.1 dan sebelumnya

Dengan Client SDK 3.3.0, AWS CloudHSM menambahkan dukungan untuk --cmu parameter, yang menyederhanakan proses memperbarui file konfigurasi untuk CMU. Jika Anda menggunakan versi CMU dari SDK Klien 3.2.1 atau sebelumnya, Anda harus terus menggunakan parameter -a dan -m untuk memperbarui file konfigurasi. Untuk informasi selengkapnya tentang parameter ini, lihat Alat konfigurasi.

Unduh Utilitas Manajemen CloudHSM

Versi terbaru CMU tersedia untuk tugas manajemen pengguna HSM apakah Anda menggunakan SDK Klien 5 dan SDK Klien 3.

Untuk mengunduh dan menginstal CMU

  • Unduh dan instal CMU.

    Amazon Linux
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL6/cloudhsm-mgmt-util-latest.el6.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el6.x86_64.rpm
    Amazon Linux 2
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    CentOS 7.8+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    CentOS 8.3+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    RHEL 7 (7.8+)
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    RHEL 8 (8.3+)
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    Ubuntu 16.04 LTS
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Xenial/cloudhsm-mgmt-util_latest_amd64.deb
    $ sudo apt install ./cloudhsm-mgmt-util_latest_amd64.deb
    Ubuntu 18.04 LTS
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Bionic/cloudhsm-mgmt-util_latest_u18.04_amd64.deb
    $ sudo apt install ./cloudhsm-mgmt-util_latest_u18.04_amd64.deb
    Windows Server 2012

    1. Unduh Utilitas Manajemen CloudHSM

    2. Jalankan penginstal CMU (AWSCloudHSMManagementUtil-latest.msi) dengan hak administratif Windows.

    Windows Server 2012 R2

    1. Unduh Utilitas Manajemen CloudHSM

    2. Jalankan penginstal CMU (AWSCloudHSMManagementUtil-latest.msi) dengan hak administratif Windows.

    Windows Server 2016

    1. Unduh Utilitas Manajemen CloudHSM

    2. Jalankan penginstal CMU (AWSCloudHSMManagementUtil-latest.msi) dengan hak administratif Windows.

Cara mengelola pengguna HSM dengan CMU

Bagian ini mencakup perintah dasar untuk mengelola pengguna HSM dengan CMU.

Gunakan createUser untuk membuat pengguna baru di HSM. Anda harus masuk sebagai CO untuk membuat pengguna.

Untuk membuat pengguna baru

  1. Gunakan alat konfigurasi untuk memperbarui konfigurasi CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

  2. Mulai CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. Masuk ke HSM sebagai pengguna CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Pastikan jumlah daftar CMU koneksi cocok dengan jumlah HSM di klaster. Jika tidak, keluar dan mulai dari awal.

  4. Gunakan createUser untuk membuat pengguna CO bernama example_officer dengan kata sandi password1.

    aws-cloudhsm>createUser CO example_officer password1

    CMU menanyakan kepada Anda tentang operasi membuat pengguna.

    
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

  5. Ketik y.

Untuk membuat pengguna baru

  1. Gunakan alat konfigurasi untuk memperbarui konfigurasi CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

  2. Mulai CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. Masuk ke HSM sebagai pengguna CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Pastikan jumlah daftar CMU koneksi cocok dengan jumlah HSM di klaster. Jika tidak, keluar dan mulai dari awal.

  4. Gunakan createUser untuk membuat pengguna CU bernama example_user dengan kata sandi password1.

    aws-cloudhsm>createUser CU example_user password1

    CMU menanyakan kepada Anda tentang operasi membuat pengguna.

    
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

  5. Ketik y.

Untuk informasi selengkapnya tentang createUser, lihat createUser.

Gunakan perintah listUsers untuk daftar semua pengguna di klaster. Anda tidak perlu masuk untuk menjalankan listUsers dan semua jenis pengguna dapat mendaftar pengguna.

Untuk mendaftar semua pengguna di klaster

  1. Gunakan alat konfigurasi untuk memperbarui konfigurasi CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

  2. Mulai CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. Gunakan listUsers untuk mencantumkan semua pengguna di klaster. 

    aws-cloudhsm>listUsers

    CMU mendaftar semua pengguna di klaster.

    
Users on server 0(10.0.2.9):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO
Users on server 1(10.0.3.11):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO
Users on server 2(10.0.1.12):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO

Untuk informasi lebih lanjut tentang listUsers, lihat listUsers.

Gunakan changePswd untuk mengubah kata sandi.

Jenis pengguna dan kata sandi adalah sensitif huruf besar-kecil, tetapi nama pengguna tidak sensitif huruf besar-kecil.

CO, Pengguna kripto (CU), dan pengguna peralatan (AU) dapat mengubah kata sandi mereka sendiri. Untuk mengubah kata sandi pengguna lain, Anda harus masuk sebagai CO. Anda tidak dapat mengubah kata sandi pengguna yang saat ini login ke klien atau key_mgmt_util.

Untuk mengubah kata sandi Anda sendiri

  1. Gunakan alat konfigurasi untuk memperbarui konfigurasi CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

  2. Mulai CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. : Masuk ke HSM

    aws-cloudhsm>loginHSM CO admin co12345

    Pastikan jumlah daftar CMU koneksi cocok dengan jumlah HSM di klaster. Jika tidak, keluar dan mulai dari awal.

  4. Gunakan changePswd untuk mengubah kata sandi Anda sendiri. 

    aws-cloudhsm>changePswd CO example_officer <new password>

    CMU menanyakan kepada Anda tentang operasi ubah kata sandi.

    
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

  5. Ketik y.

    CMU menanyakan kepada Anda tentang operasi ubah kata sandi.

    
Changing password for example_officer(CO) on 3 nodes
: Ubah Kata Sandi Pengguna Lain

  1. Gunakan alat konfigurasi untuk memperbarui konfigurasi CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

  2. Mulai CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. Masuk ke HSM sebagai pengguna CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Pastikan jumlah daftar CMU koneksi cocok dengan jumlah HSM di klaster. Jika tidak, keluar dan mulai dari awal.

  4. Gunakan changePswd untuk mengubah kata sandi pengguna lain. 

    aws-cloudhsm>changePswd CU example_user <new password>

    CMU menanyakan kepada Anda tentang operasi ubah kata sandi.

    
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

  5. Ketik y.

    CMU menanyakan kepada Anda tentang operasi ubah kata sandi.

    
Changing password for example_user(CU) on 3 nodes

Untuk informasi lebih lanjut tentang changePswd, lihat changePswd.

Gunakan deleteUser untuk menghapus pengguna. Anda harus masuk sebagai CO untuk menghapus pengguna lain.

Tip

Anda tidak dapat menghapus pengguna kripto (CU) yang memiliki kunci.

Untuk menghapus klaster

  1. Gunakan alat konfigurasi untuk memperbarui konfigurasi CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

  2. Mulai CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM> .\cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. Masuk ke HSM sebagai pengguna CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Pastikan jumlah daftar CMU koneksi cocok dengan jumlah HSM di klaster. Jika tidak, keluar dan mulai dari awal.

  4. Gunakan deleteUser untuk menghapus pengguna. 

    aws-cloudhsm>deleteUser CO example_officer

    CMU menghapus pengguna.

    
Deleting user example_officer(CO) on 3 nodes
deleteUser success on server 0(10.0.2.9)
deleteUser success on server 1(10.0.3.11)
deleteUser success on server 2(10.0.1.12)

Untuk informasi selengkapnya tentang deleteUser, lihat deleteUser.