createUser - AWS CloudHSM
사용자 유형구문예제인수관련 주제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

createUser

cloudhsm_mgmt_util 에서 createUser 명령은 HSM에 사용자를 생성합니다. crypto officer (CO 및 PRECO)만이 이 명령을 실행할 수 있습니다. 명령이 성공하면 클러스터의 모든 HSM에서 사용자가 생성됩니다.

하지만 HSM 구성이 정확하지 않으면 일부 HSM에서 사용자가 생성되지 않을 수 있습니다. 사용자가 누락된 HSM에 사용자를 추가하려면 이 사용자가 누락된 HSM에서만 syncUser 또는 createUser 명령을 사용하십시오. 구성 오류를 방지하려면 옵션과 함께 구성 도구를 실행하십시오. -m

CMU 명령을 실행하려면 먼저 CMU를 시작하고, HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다.

HSM을 추가하거나 삭제하는 경우 CMU의 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다.

사용자 유형

다음 사용자 유형이 이 명령을 실행할 수 있습니다.

  • crypto officers (CO, PRECO)

구문

구문 다이어그램에 지정된 순서대로 인수를 입력합니다. -hpswd 파라미터를 사용하여 암호를 숨길 수 있습니다. 2단계 인증 (2FA) 을 사용하는 CO 사용자를 만들려면 -2fa 매개변수를 사용하고 파일 경로를 포함하세요. 자세한 정보는 인수을 참조하세요.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]

예제

다음 예제에서는 createUser를 사용하여 HSM에서 새 사용자를 생성하는 방법을 보여 줍니다.

예 : crypto officer 생성

이 예제에서는 클러스터의 HSM에서 CO(Crypto Officer)를 생성합니다. 첫 번째 명령은 loginHSM을 사용하여 HSM에 CO(Crypto Officer)로 로그인합니다.

aws-cloudhsm> loginHSM CO admin 735782961

loginHSM success on server 0(10.0.0.1)
loginHSM success on server 1(10.0.0.2)
loginHSM success on server 1(10.0.0.3)

두 번째 명령은 createUser 명령을 사용하여 HSM에서 새 CO(Crypto Officer)인 alice를 생성합니다.

주의 메시지에서는 명령이 클러스터의 모든 HSM에서 사용자를 생성한다고 설명합니다. 하지만 명령이 실패하는 HSM이 있는 경우, 해당 HSM에는 사용자가 존재하지 않습니다. 계속하려면 y를 입력합니다.

출력은 클러스터의 3개 HSM 모두에서 새 사용자가 생성되었음을 보여 줍니다.

aws-cloudhsm> createUser CO alice 391019314

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User alice(CO) on 3 nodes

명령이 완료되면 alice는 HSM의 사용자 암호 변경 등 admin CO 사용자와 동일한 권한을 HSM에서 갖습니다.

마지막 명령은 listUsers 명령을 사용하여 alice가 클러스터의 3개 HSM 모두에 존재함을 확인합니다. 출력은 alice에게 사용자 ID 3이 할당되었다는 것도 보여 줍니다.. 사용자 ID를 사용하여 다른 명령 (예:) alice 에서 식별할 수 findAllKeys있습니다.

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
Users on server 1(10.0.0.2):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO

Users on server 1(10.0.0.3):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                   YES               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              alice                                    NO               0               NO
예 : crypto user 생성

이 예제는 HSM에서 CU(crypto user)인 bob을 생성합니다. crypto user는 키를 생성하고 관리할 수 있지만 사용자를 관리할 수는 없습니다.

주의 메시지에 응답하여 y를 입력한 후 출력은 클러스터의 3개 HSM 모두에서 bob이 생성되었음을 보여 줍니다. 새 CU는 HSM에 로그인하여 키를 생성하고 관리할 수 있습니다.

이 명령에서 사용한 암호 값은 defaultPassword입니다. 나중에 bob 또는 아무 CO나 changePswd 명령을 사용하여 bob의 암호를 변경할 수 있습니다.

aws-cloudhsm> createUser CU bob defaultPassword

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?Invalid option, please type 'y' or 'n'

Do you want to continue(y/n)?y
Creating User bob(CU) on 3 nodes

인수

구문 다이어그램에 지정된 순서대로 인수를 입력합니다. -hpswd 파라미터를 사용하여 암호를 숨길 수 있습니다. 2FA가 활성화된 CO 사용자를 생성하려면 -2fa 매개변수를 사용하고 파일 경로를 포함하십시오. 2FA에 대한 자세한 내용은 CMU를 사용하여 2FA 관리 단원을 참조하세요.

createUser <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]
<user-type>

사용자 유형을 지정합니다. 이 파라미터는 필수 사항입니다.

HSM에서의 사용자 유형에 대한 자세한 내용은 HSM 사용자 이해 섹션을 참조하십시오.

유효값:

  • CO: Crypto officer는 사용자를 관리할 수 있지만 키를 관리할 수는 없습니다.

  • CU: crypto user는 키를 관리하고 암호화 작업에서 키를 사용할 수 있습니다.

PRECO는 HSM 활성화 도중 암호를 할당할 때 CO로 변환됩니다.

필수 여부: 예

<user-name>

사용자의 친숙한 이름을 지정합니다. 최대 길이는 31자입니다. 허용되는 유일한 특수 문자는 밑줄( _ )입니다.

사용자를 생성한 후에는 사용자 이름을 변경할 수 없습니다. cloudhsm_mgmt_util 명령에서 사용자 유형과 암호는 대소문자를 구분하지만 사용자 이름은 대소문자를 구분하지 않습니다.

필수 여부: 예

<password | -hpswd >

사용자의 암호를 지정합니다. 7~32자의 문자열을 입력합니다. 이 값은 대소문자를 구분합니다. 암호를 입력하면 일반 텍스트로 암호가 나타납니다. 암호를 숨기려면 암호 대신 -hpswd 파라미터를 사용하고 표시되는 프롬프트를 따르십시오.

사용자 암호를 변경하려면 changePswd를 사용합니다. HSM 사용자는 자신의 암호를 변경할 수 있지만, CO 사용자는 HSM에 있는(유형 불문하고) 모든 사용자의 암호를 변경할 수 있습니다.

필수 여부: 예

[-2fa </path/to/authdata>]

2FA가 활성화된 CO 사용자 생성을 지정합니다. 2FA 인증을 설정하는 데 필요한 데이터를 가져오려면 파일 시스템의 특정 위치에 대한 경로를 매개변수 뒤에 파일 이름과 함께 포함시키십시오. -2fa 2FA로 작업 및 설정하는 법에 대한 자세한 내용은 CMU를 사용하여 2FA 관리 단원을 참조하십시오.

필수 여부: 아니요

관련 주제