Noções básicas sobre gerenciamento de usuários Fazer o download de CloudHSM Management Utility Como gerenciar usuários

Usar o CloudHSM Management Utility (CMU) para gerenciar usuários

Este tópico fornece step-by-step instruções sobre como gerenciar usuários do módulo de segurança de hardware (HSM) com o CloudHSM Management Utility (CMU), uma ferramenta de linha de comando que vem com o SDK do cliente. Para obter mais informações sobre usuários do CMU ou HSM, consulte CloudHSM Management Utility e Noções básicas sobre usuários do HSM.

Seções

Noções básicas sobre gerenciamento de usuários
Fazer o download de CloudHSM Management Utility
Como gerenciar usuários

Noções básicas sobre gerenciamento de usuários do HSM com CMU

Para gerenciar os usuários do HSM, faça login no HSM com o nome de usuário e a senha de um responsável pela criptografia (CO). Somente os COs podem gerenciar usuários. O HSM contém um CO padrão chamado admin. Você define a senha para admin quando ativou o cluster.

Para usar o CMU, você deve usar a ferramenta de configuração para atualizar a configuração local. O CMU cria sua própria conexão com o cluster e essa conexão não reconhece o cluster. Para rastrear as informações do cluster, o CMU mantém um arquivo de configuração local. Isso significa que toda vez que você usa o CMU, você deve primeiro atualizar o arquivo de configuração executando a ferramenta de linha de comando configure com o --cmu parâmetro. Se você estiver usando o Client SDK 3.2.1 ou anterior, deverá usar um parâmetro diferente de. --cmu Para ter mais informações, consulte Usando o CMU com o Client SDK 3.2.1 e versões anteriores.

O parâmetro --cmu exige que você adicione o endereço IP de um HSM no seu cluster. Se você tiver vários HSMs, poderá usar qualquer endereço IP. Isso garante que o CMU possa propagar todas as alterações que você fizer em todo o cluster. Lembre-se de que o CMU usa seu arquivo local para rastrear as informações do cluster. Se o cluster mudou desde a última vez em que você usou o CMU de um host específico, você deve adicionar essas alterações ao arquivo de configuração local armazenado nesse host. Nunca adicione ou remova um HSM enquanto estiver usando o CMU.

Para obter um endereço IP para um HSM (console)

Abra o AWS CloudHSM console em https://console.aws.amazon.com/cloudhsm/home.
Para alterar a região da Amazon Web Services, use o seletor de região no canto superior direito da página.
Para abrir a página de detalhes do cluster, na tabela do cluster, escolha o ID do cluster.
Para obter o endereço IP, na guia HSMs, escolha um dos endereços IP listados em Endereço IP ENI.

Para obter um endereço IP para um HSM (CLI)

Obtenha o endereço IP de um HSM usando o describe-clusters comando da CLI. Na saída do comando, o endereço IP dos HSMs são os valores de EniIp.


$  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...

Usando o CMU com o Client SDK 3.2.1 e versões anteriores

Com o Client SDK 3.3.0, AWS CloudHSM foi adicionado suporte ao --cmu parâmetro, o que simplifica o processo de atualização do arquivo de configuração para CMU. Se você estiver usando uma versão do CMU do Client SDK 3.2.1 ou anterior, deverá continuar usando -m os parâmetros -a e para atualizar o arquivo de configuração. Para obter mais informações sobre estes parâmetros, consulte Configurar ferramenta.

Fazer o download de CloudHSM Management Utility

A versão mais recente do CMU está disponível para tarefas de gerenciamento de usuários do HSM, independentemente de você estar usando o Client SDK 5 e o Client SDK 3.

Para fazer o download e instalar o CMU

Faça download e instale o CMU.

Amazon Linux


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL6/cloudhsm-mgmt-util-latest.el6.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el6.x86_64.rpm

Amazon Linux 2


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm

CentOS 7.8+


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm

CentOS 8.3+


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm

RHEL 7 (7.8+)


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm

RHEL 8 (8.3+)


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm

Ubuntu 16.04 LTS


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Xenial/cloudhsm-mgmt-util_latest_amd64.deb


$ sudo apt install ./cloudhsm-mgmt-util_latest_amd64.deb

Ubuntu 18.04 LTS


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Bionic/cloudhsm-mgmt-util_latest_u18.04_amd64.deb


$ sudo apt install ./cloudhsm-mgmt-util_latest_u18.04_amd64.deb

Windows Server 2012

Faça o download do CloudHSM Management Utility.
Execute o instalador CMU (AWSCloudHSMManagementUtil-latest.msi) com privilégios administrativos do Windows.

Windows Server 2012 R2

Faça o download do CloudHSM Management Utility.
Execute o instalador CMU (AWSCloudHSMManagementUtil-latest.msi) com privilégios administrativos do Windows.

Windows Server 2016

Faça o download do CloudHSM Management Utility.
Execute o instalador CMU (AWSCloudHSMManagementUtil-latest.msi) com privilégios administrativos do Windows.

Como gerenciar usuários do HSM com CMU

Esta seção inclui comandos básicos para gerenciar usuários do HSM com CMU.

Use createUser para criar novos usuários no HSM. Você deve fazer login como CO para criar um usuário.

Para criar um novo usuário CO

Use a ferramenta de configuração para atualizar a configuração do CMU.

Iniciar o CMU.

Faça login no console do HSM como usuário CO.
```
aws-cloudhsm>loginHSM CO admin co12345
```
Certifique-se de que o número de conexões das listas CMU corresponda ao número de HSMs no cluster. Caso contrário, saia e comece de novo.

Use createUser para criar um usuário de CO chamado example_officer com uma senha de password1.


aws-cloudhsm>createUser CO example_officer password1

O CMU avisa sobre a operação de criação de usuário.



*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

Digite y.

Para criar um novo usuário CU

Use a ferramenta de configuração para atualizar a configuração do CMU.

Iniciar o CMU.

Faça login no console do HSM como usuário CO.
```
aws-cloudhsm>loginHSM CO admin co12345
```
Certifique-se de que o número de conexões das listas CMU corresponda ao número de HSMs no cluster. Caso contrário, saia e comece de novo.

Use createUser para criar um usuário de CU chamado example_user com uma senha de password1.


aws-cloudhsm>createUser CU example_user password1

O CMU avisa sobre a operação de criação de usuário.



*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

Digite y.

Para obter mais informações sobre createUser, consulte CreateUser.

Use o comando listUsers para listar todos os usuários no cluster. Você não precisa fazer login para executar listUsers e todos os tipos de usuário podem listar usuários.

Para listar todos os usuários no cluster

Use a ferramenta de configuração para atualizar a configuração do CMU.

Iniciar o CMU.

Use listUsers para listar todos os usuários no cluster.


aws-cloudhsm>listUsers

O CMU lista todos os usuários no cluster.



Users on server 0(10.0.2.9):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO
Users on server 1(10.0.3.11):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO
Users on server 2(10.0.1.12):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO

Para obter mais informações sobre listUsers, consulte listUsers.

Use changePswd para alterar uma senha de usuário.

Os tipos de usuários e as senhas diferenciam maiúsculas e minúsculas, mas os nomes de usuários não.

CO, usuários de criptografia (CUs) e usuários do dispositivo (AUs) podem alterar suas próprias senhas. Para alterar a senha de outro usuário, você deve fazer login como CO. Não é possível alterar a senha de um usuário que está conectado no momento.

Para alterar sua senha

Use a ferramenta de configuração para atualizar a configuração do CMU.

Iniciar o CMU.

Fazer login em HSMs.
```
aws-cloudhsm>loginHSM CO admin co12345
```
Certifique-se de que o número de conexões das listas CMU corresponda ao número de HSMs no cluster. Caso contrário, saia e comece de novo.

Use changePswd para alterar sua senha.


aws-cloudhsm>changePswd CO example_officer <new password>

O CMU solicita a operação de alteração de senha.



*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

Digite y.

O CMU solicita a operação de alteração de senha.
```
Changing password for example_officer(CO) on 3 nodes
```

Para alterar a senha de outro usuário

Use a ferramenta de configuração para atualizar a configuração do CMU.

Iniciar o CMU.

Faça login no console do HSM como usuário CO.
```
aws-cloudhsm>loginHSM CO admin co12345
```
Certifique-se de que o número de conexões das listas CMU corresponda ao número de HSMs no cluster. Caso contrário, saia e comece de novo.

Use changePswd para alterar a senha de outro usuário.


aws-cloudhsm>changePswd CU example_user <new password>

O CMU solicita a operação de alteração de senha.



*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

Digite y.

O CMU solicita a operação de alteração de senha.
```
Changing password for example_user(CU) on 3 nodes
```

Para obter mais informações sobre o changePswd, consulte changePswd.

Use deleteUser para excluir um usuário. Você deve fazer login como CO para excluir outro usuário.

dica

Você não pode excluir usuários de criptografia (CU) que possuem chaves.

Para excluir um usuário

Use a ferramenta de configuração para atualizar a configuração do CMU.

Iniciar o CMU.

Faça login no console do HSM como usuário CO.
```
aws-cloudhsm>loginHSM CO admin co12345
```
Certifique-se de que o número de conexões das listas CMU corresponda ao número de HSMs no cluster. Caso contrário, saia e comece de novo.

Use deleteUser para excluir um usuário.


aws-cloudhsm>deleteUser CO example_officer

A CMU exclui o usuário.



Deleting user example_officer(CO) on 3 nodes
deleteUser success on server 0(10.0.2.9)
deleteUser success on server 1(10.0.3.11)
deleteUser success on server 2(10.0.1.12)

Para obter mais informações sobre deleteUser, consulte deleteUser.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como usar o CMU

Usando a CMU para gerenciar 2FA