registerQuorumPubキー - AWS CloudHSM
ユーザーのタイプ構文引数 関連トピック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

registerQuorumPubキー

cloudhsm_mgmt_util registerQuorumPubKey のコマンドは、ハードウェアセキュリティモジュール(HSM)ユーザーを非対称の RSA-2048 キーペアに関連付けます。HSM ユーザーをキーに関連付けると、それらのユーザーはプライベートキーを使用してクォーラム要求を承認することができ、クラスターは登録された公開キーを使用して、署名がユーザーからのものであることを確認できます。クォーラム認証の詳細については、「クォーラム認証の管理(M of N アクセス制御)」を参照してください。

ヒント

AWS CloudHSM ドキュメントでは、クォーラム認証は M of N (MofN ) と呼ばれることがあります。これは、N 人の承認者の総数のうち最低 M 人の承認者を意味します。

ユーザーのタイプ

このコマンドは、次のタイプのユーザーが実行できます。

  • Crypto Officer (CO)

構文

このコマンドには名前付きパラメータがないため、引数は図表で指定された順序で入力する必要があります。

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>

この例では registerQuorumPubKey を使用して、クォーラム認証の要求に対する承認者として Crypto Officer (CO) を登録する方法を示します。このコマンドを実行するには、非対称 RSA-2048 キーペア、署名付きトークン、および署名なしトークンが必要です。これらの要件の詳細については、「引数」を参照してください。

例 : HSM ユーザーをクォーラム認証に登録する

この例では、クォーラム認証の承認者として quorum_officer という CO を登録します。

aws-cloudhsm> registerQuorumPubKey CO <quorum_officer> </path/to/quorum_officer.token> </path/to/quorum_officer.token.sig> </path/to/quorum_officer.pub>

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
registerQuorumPubKey success on server 0(10.0.0.1)

最後のコマンドは listUsers コマンドを使用して、quorum_officer が MofN ユーザーとして登録されていることを確認します。

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              quorum_officer                          YES               0               NO

引数

このコマンドには名前付きパラメータがないため、引数は図表で指定された順序で入力する必要があります。

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>
<user-type>

ユーザーのタイプを指定します。このパラメータは必須です。

HSM のユーザータイプの詳細については、「HSM ユーザーを理解する」を参照してください。

有効値:

  • CO: Crypto officers はユーザーを管理できますが、キーを管理することはできません。

必須: はい

<user-name>

ユーザーのわかりやすい名前を指定します。最大長は 31 文字です。許可されている唯一の特殊文字はアンダースコア (_) です。

ユーザーの作成後にユーザー名を変更することはできません。cloudhsm_mgmt_util コマンドでは、ユーザータイプとパスワードは大文字と小文字が区別されますが、ユーザー名は区別されません。

必須: はい

<registration-token>

署名なし登録トークンを含むファイルへのパスを指定します。最大ファイルサイズが 245 バイトの任意のランダムデータを持つことができます。署名なしの登録トークンの作成についての詳細は、「登録トークンの作成と署名」を参照してください。

必須: はい

<signed-registration-token>

登録トークンの SHA256_PKCS メカニズム署名付きハッシュを含むファイルへのパスを指定します。詳細については、「登録トークンの作成と署名」を参照してください。

必須: はい

<public-key>

非対称 RSA-2048 キーペアの公開キーを含むファイルへのパスを指定します。プライベートキーを使用して、登録トークンに署名します。詳細については、「RSA キーペアの作成」を参照してください。

必須: はい

注記

クラスターは、クォーラム認証と 2 要素認証 (2FA) に同じキーを使用します。つまり、registerQuorumPubKey を使用して 2FA が有効になっているユーザーのクォーラムキーをローテーションすることはできません。キーをローテーションするには、changePswd のようにします。クォーラム認証と 2FA の使用の詳細については、「クォーラム認証と 2FA」を参照してください。

関連トピック