Utilizzo della CLI di CloudHSM per gestire l'autenticazione del quorum (controllo dell'accesso "M of N") - AWS CloudHSM
Panoramica dell'autenticazione del quorum con strategia token-signUlteriori informazioni sull'autenticazione del quorum

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo della CLI di CloudHSM per gestire l'autenticazione del quorum (controllo dell'accesso "M of N")

Gli HSM nel tuo cluster AWS CloudHSM supportano l'autenticazione del quorum, nota anche come controllo dell'accesso "M of N". Con l'autenticazione del quorum, nessun utente singolo sull'HSM può eseguire le operazioni controllate dal quorum sull'HSM. Invece, un numero minimo di utenti HSM (almeno 2) deve cooperare per eseguire queste operazioni. L'autenticazione del quorum ti consente di aggiungere un ulteriore livello di protezione, in quanto richiede l'approvazione da parte di più utenti HSM.

L'autenticazione del quorum consente di controllare le seguenti operazioni:

I seguenti argomenti forniscono ulteriori informazioni sull'autenticazione del quorum in AWS CloudHSM.

Argomenti

Panoramica dell'autenticazione del quorum con strategia token-sign

Le seguenti operazioni riepilogano i processi di autenticazione del quorum. Per le operazioni e gli strumenti specifici, consultare Utilizzo dell'autenticazione del quorum per gli amministratori.

  1. Ciascun utente HSM crea una chiave asimmetrica per la firma. Gli utenti completano questa operazione al di fuori dell'HSM, assicurandosi di proteggere la chiave in modo appropriato.

  2. Ciascun utente HSM effettua l'accesso all'HSM e registra la parte pubblica della propria chiave di firma (la chiave pubblica) nell'HSM.

  3. Quando un utente HSM desidera effettuare un'operazione controllata dal quorum, tale utente effettua l'accesso all'HSM e ottiene un token del quorum.

  4. L'utente HSM assegna il token del quorum a uno o più utenti HSM e richiede la loro approvazione.

  5. Gli altri utenti HSM approvano utilizzando le loro chiavi per firmare crittograficamente il token del quorum. Ciò si verifica al di fuori dell'HSM.

  6. Quando l'utente HSM dispone del numero di approvazioni necessario, tale utente effettua l'accesso all'HSM ed esegue l'operazione controllata dal quorum con l'argomento --approval, fornendo il file del token del quorum firmato contenente tutte le approvazioni (firme) necessarie.

  7. L'HSM utilizza la chiavi pubbliche registrate di ciascun firmatario per verificare le firme. Se le firme sono valide, l'HSM approva il token e l'operazione controllata dal quorum viene eseguita.

Ulteriori informazioni sull'autenticazione del quorum

Ricorda le seguenti informazioni aggiuntive sull'utilizzo dell'autenticazione del quorum in AWS CloudHSM.

  • Un utente HSM può firmare il proprio token del quorum, vale a dire che l'utente richiedente può fornire una delle approvazioni richieste per l'autenticazione del quorum.

  • È possibile scegliere il numero minimo di approvatori del quorum per le operazioni controllate dal quorum. Il numero minore che si può scegliere è due (2) e il numero maggiore è otto (8).

  • L'HSM può archiviare fino a 1.024 token del quorum. Se l'HSM dispone già di 1.024 token quando tenta di crearne uno nuovo, l'HSM elimina uno di quelli scaduti. Per impostazione predefinita, i token scadono dieci minuti dopo la loro creazione.

  • Se l'autenticazione a più fattori è abilitata, il cluster utilizza la stessa chiave per l'autenticazione del quorum e per l'autenticazione a più fattori (MFA). Per ulteriori informazioni sull'utilizzo dell'autenticazione del quorum e dell'autenticazione a due fattori, consulta la pagina relativa all'utilizzo della CLI di CloudHSM CLI per gestire l'autenticazione a più fattori.

  • Ciascun HSM può contenere un solo token alla volta per servizio.