Menggunakan CMU Manajemen CMU CMU untuk mengelola autentikasi kuorum autentikasi kuorum kontrol akses M dari N kontrol kuorum untuk mengelola autentikasi kuorum autentikasi kuorum

HSM di klaster AWS CloudHSM mendukung autentikasi kuorum, yang juga dikenal sebagai M dari N kontrol akses. Dengan autentikasi kuorum, tidak ada pengguna tunggal di HSM dapat melakukan operasi dikendalikan kuorum pada HSM. Sebaliknya, sejumlah minimum pengguna HSM (paling sedikit 2) harus bekerja sama untuk melakukan operasi ini. Dengan autentikasi kuorum, Anda dapat menambahkan lapisan perlindungan ekstra dengan meminta persetujuan dari lebih dari satu pengguna HSM.

Autentikasi kuorum dapat mengontrol operasi berikut:

• Manajemen pengguna HSM oleh petugas kripto (CO)— Membuat dan menghapus pengguna HSM, dan mengubah kata sandi pengguna HSM yang berbeda. Untuk informasi lebih lanjut, lihat Menggunakan otentikasi kuorum untuk petugas kripto.

Topik berikut ini menyediakan informasi lebih lanjut tentang autentikasi kuorum di AWS CloudHSM.

Topik

• Gambaran umum autentikasi kuorum
• Detail tambahan tentang otentikasi kuorum
• Menggunakan otentikasi kuorum untuk petugas kripto: pengaturan pertama kali
• Menggunakan otentikasi kuorum untuk petugas kripto
• Ubah Nilai Minimum Kuorum untuk petugas kripto

Gambaran umum autentikasi kuorum

Langkah-langkah berikut merangkum proses autentikasi kuorum. Untuk langkah-langkah dan alat tertentu, lihat Menggunakan otentikasi kuorum untuk petugas kripto.

1. Setiap pengguna HSM membuat kunci asimetris untuk penandatanganan. Pengguna melakukan ini di luar HSM, mengurus untuk melindungi kunci dengan tepat.

2. Setiap pengguna HSM masuk ke HSM dan mendaftarkan bagian publik kunci penandatanganannya (kunci publik) dengan HSM.

3. Ketika pengguna HSM ingin melakukan operasi terkontrol kuorum, setiap pengguna masuk ke HSM dan mendapatkan token kuorum.

4. Pengguna HSM memberikan token kuorum ke satu atau lebih pengguna HSM lainnya dan meminta persetujuan mereka.

5. Pengguna HSM lainnya menyetujui dengan menggunakan kunci mereka untuk secara kriptografi menandatangani token kuorum. Hal ini terjadi di luar HSM.

6. Ketika pengguna HSM memiliki jumlah persetujuan yang diperlukan, pengguna yang sama masuk ke HSM dan memberikan token kuorum dan persetujuan (tanda tangan) untuk HSM.

7. HSM menggunakan kunci publik terdaftar dari setiap penandatangan untuk memverifikasi tanda tangan. Jika tanda tangan valid, HSM menyetujui token.

8. Pengguna HSM sekarang dapat melakukan operasi dikendalikan kuorum.

Detail tambahan tentang otentikasi kuorum

Perhatikan informasi tambahan berikut tentang menggunakan autentikasi kuorum di AWS CloudHSM.

• Pengguna HSM dapat menandatangani token kuorum miliknya sendiri—yaitu, pengguna yang meminta dapat memberikan salah satu persetujuan yang diperlukan untuk autentikasi kuorum autentikasi kuorum.

• Anda memilih jumlah minimum pemberi persetujuan kuorum untuk operasi yang dikontrol kuorum. Jumlah terkecil yang dapat Anda pilih adalah dua (2), dan jumlah terbesar yang dapat Anda pilih adalah delapan (8), dan jumlah terbesar yang dapat Anda pilih adalah delapan (8), dan jumlah terbesar yang dapat Anda pilih adalah delapan (8), jumlah terbesar

• HSM dapat menyimpan hingga 1024 token kuorum. Jika HSM sudah memiliki 1024 token ketika Anda mencoba untuk membuat yang baru, HSM membersihkan salah satu token kedaluwarsa. Secara default, token kedaluwarsa sepuluh menit setelah pembuatannya.

• Klaster menggunakan kunci yang sama untuk autentikasi kuorum dan autentikasi dua faktor (2FA). Untuk informasi selengkapnya tentang penggunaan autentikasi kuorum dan 2FA, lihat Autentikasi Kuorum dan 2FA.