Usando o CloudHSM Management Utility (CMU) para gerenciar usuários - AWS CloudHSM
Noções básicas sobre gerenciamento de usuáriosBaixe o utilitário de gerenciamento CloudHSMComo gerenciar os usuários

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando o CloudHSM Management Utility (CMU) para gerenciar usuários

Este tópico fornece step-by-step instruções sobre como gerenciar usuários do módulo de segurança de hardware (HSM) com o CloudHSM Management Utility (CMU), uma ferramenta de linha de comando que vem com o SDK do cliente. Para obter mais informações sobre usuários de CMU ou HSM, consulteUtilitário de gerenciamento CloudHSMNoções básicas sobre os usuários do HS e.

Entendendo o gerenciamento de usuários do HSM com CMU

Para gerenciar usuários do HSM, você deve fazer login no HSM com o nome de usuário e a senha de um oficial de criptografia (CO). Somente CoS podem gerenciar usuários. O HSM contém um CO padrão chamado admin. Você define a senha paraadmin quando ativou o cluster.

Para usar a CMU, você deve usar a ferramenta de configuração para atualizar a configuração local. A CMU cria sua própria conexão com o cluster e essa conexão não reconhece o cluster. Para rastrear as informações do cluster, a CMU mantém um arquivo de configuração local. Isso significa que cada vez que você usa o CMU, você deve primeiro atualizar o arquivo de configuração executando a ferramenta de linha de comando configure com o--cmu parâmetro. Se você estiver usando o Client SDK 3.2.1 ou anterior, deverá usar um parâmetro diferente do--cmu. Para obter mais informações, consulte Usando a CMU com o Client SDK 3.2.1 e versões anteriores.

O--cmu parâmetro exige que você adicione o endereço IP de um HSM em seu cluster. Se você tiver vários HSMs, poderá usar qualquer endereço IP. Isso garante que a CMU possa propagar quaisquer alterações feitas em todo o cluster. Lembre-se de que a CMU usa seu arquivo local para rastrear as informações do cluster. Se o cluster foi alterado desde a última vez em que você usou a CMU de um host específico, você deve adicionar essas alterações ao arquivo de configuração local armazenado nesse host. Nunca adicione ou remova um HSM enquanto estiver usando o CMU.

Para obter um endereço IP para um HSM (console)

  1. Abra oAWS CloudHSM console em https://console.aws.amazon.com/cloudhsm/home.

  2. Para alterar a região da AWS, use o seletor de região no canto superior direito da página.

  3. No painel de navegação, escolha Clusters.

  4. Para abrir a página de detalhes do cluster, na tabela do cluster, escolha o ID do cluster.

  5. Para obter o endereço IP, na guia HSMs, escolha um dos endereços IP listados em Endereço IP ENI.

Para obter um endereço IP para um HSM (AWS CLI)

  • Obtenha o endereço IP de um HSM usando odescribe-clusters comando doAWS CLI. Na saída do comando, o endereço IP dos HSMs são os valores deEniIp. 

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...

Usando a CMU com o Client SDK 3.2.1 e versões anteriores

Com o Client SDK 3.3.0,AWS CloudHSM foi adicionado suporte para o--cmu parâmetro, o que simplifica o processo de atualização do arquivo de configuração para CMU. Se você estiver usando uma versão do CMU do Client SDK 3.2.1 ou anterior, deverá continuar usando os-m parâmetros-a e para atualizar o arquivo de configuração. Para obter mais informações sobre esses parâmetros, consulte Ferramenta de configuração.

Baixe o utilitário de gerenciamento CloudHSM

A versão mais recente do CMU está disponível para tarefas de gerenciamento de usuários do HSM, independentemente de você estar usando o Client SDK 5 e o Client SDK 3.

Para baixar e instalar o CMU

  • Baixe e instale o CMU.

    Amazon Linux
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL6/cloudhsm-mgmt-util-latest.el6.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el6.x86_64.rpm
    Amazon Linux 2
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    CentOS 7.8+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    CentOS 8.3+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    RHEL 7.9+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    RHEL 8.3+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    Ubuntu 16.04 LTS
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Xenial/cloudhsm-mgmt-util_latest_amd64.deb
    $ sudo apt install ./cloudhsm-mgmt-util_latest_amd64.deb
    Ubuntu 18.04 LTS
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Bionic/cloudhsm-mgmt-util_latest_u18.04_amd64.deb
    $ sudo apt install ./cloudhsm-mgmt-util_latest_u18.04_amd64.deb
    Windows Server 2012

    1. Baixe o utilitário de gerenciamento CloudHSM.

    2. Execute o instalador CMU (AWSCloudHSMManagementUtil-latest.msi) com privilégios administrativos do Windows.

    Windows Server 2012 R2

    1. Baixe o utilitário de gerenciamento CloudHSM.

    2. Execute o instalador CMU (AWSCloudHSMManagementUtil-latest.msi) com privilégios administrativos do Windows.

    Windows Server 2016

    1. Baixe o utilitário de gerenciamento CloudHSM.

    2. Execute o instalador CMU (AWSCloudHSMManagementUtil-latest.msi) com privilégios administrativos do Windows.

Como gerenciar usuários do HSM com CMU

Esta seção inclui comandos básicos para gerenciar usuários do HSM com CMU.

UsecreateUser para criar novos usuários no HSM. Você deve fazer login como CO para criar um usuário.

Para criar um novo usuário de CO

  1. Use a ferramenta de configuração para atualizar a configuração da CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>

  2. Iniciar o CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. Faça login no HSM como um usuário de CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Certifique-se de que o número de conexões das listas de CMU corresponda ao número de HSMs no cluster. Caso contrário, saia e comece de novo.

  4. UsecreateUser para criar um usuário CO nomeadoexample_officer com uma senha depassword1.

    aws-cloudhsm>createUser CO example_officer password1

    A CMU pergunta sobre a operação de criação de usuário.

    
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

  5. Digite y.

Para criar um novo usuário da CU

  1. Use a ferramenta de configuração para atualizar a configuração da CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>

  2. Iniciar o CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. Faça login no HSM como um usuário de CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Certifique-se de que o número de conexões das listas de CMU corresponda ao número de HSMs no cluster. Caso contrário, saia e comece de novo.

  4. UsecreateUser para criar um usuário de CU nomeadoexample_user com uma senha depassword1.

    aws-cloudhsm>createUser CU example_user password1

    A CMU pergunta sobre a operação de criação de usuário.

    
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

  5. Digite y.

Para obter mais informações sobrecreateUser, consulte CreateUser.

UselistUsers o comando para listar todos os usuários no cluster. Você não precisa fazer login para executarlistUsers e todos os tipos de usuário podem listar usuários.

Para listar todos os usuários no cluster

  1. Use a ferramenta de configuração para atualizar a configuração da CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>

  2. Iniciar o CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. UselistUsers para listar todos os usuários no cluster. 

    aws-cloudhsm>listUsers

    A CMU lista todos os usuários no cluster.

    
Users on server 0(10.0.2.9):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO
Users on server 1(10.0.3.11):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO
Users on server 2(10.0.1.12):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO

Para obter mais informações sobrelistUsers, consulte ListUsers.

UsechangePswd para alterar uma senha.

Os tipos de usuário e senhas diferenciam maiúsculas de minúsculas, mas os nomes de usuário não diferenciam maiúsculas de minúsculas.

CO, usuário Crypto (CU) e usuário do equipamento (AU) podem alterar sua própria senha. Para alterar a senha de outro usuário, você deve fazer login como um CO. Não é possível alterar a senha de um usuário que está atualmente conectado.

Para alterar sua própria senha

  1. Use a ferramenta de configuração para atualizar a configuração da CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>

  2. Iniciar o CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. Faça login no HSM.

    aws-cloudhsm>loginHSM CO admin co12345

    Certifique-se de que o número de conexões das listas de CMU corresponda ao número de HSMs no cluster. Caso contrário, saia e comece de novo.

  4. UsechangePswd para alterar sua própria senha. 

    aws-cloudhsm>changePswd CO example_officer <new password>

    A CMU pergunta sobre a operação de alteração de senha.

    
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

  5. Digite y.

    A CMU pergunta sobre a operação de alteração de senha.

    
Changing password for example_officer(CO) on 3 nodes
Para alterar a senha de outro usuário

  1. Use a ferramenta de configuração para atualizar a configuração da CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>

  2. Iniciar o CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. Faça login no HSM como um usuário de CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Certifique-se de que o número de conexões das listas de CMU corresponda ao número de HSMs no cluster. Caso contrário, saia e comece de novo.

  4. UsechangePswd para alterar a senha de outro usuário. 

    aws-cloudhsm>changePswd CU example_user <new password>

    A CMU pergunta sobre a operação de alteração de senha.

    
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

  5. Digite y.

    A CMU pergunta sobre a operação de alteração de senha.

    
Changing password for example_user(CU) on 3 nodes

Para obter mais informações sobrechangePswd, consulte changePswd.

UsedeleteUser para excluir um usuário. Você deve fazer login como CO para excluir outro usuário.

dica

Você não pode excluir usuários criptográficos (CU) que possuem chaves.

Para excluir um usuário

  1. Use a ferramenta de configuração para atualizar a configuração da CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>

  2. Iniciar o CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

  3. Faça login no HSM como um usuário de CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Certifique-se de que o número de conexões das listas de CMU corresponda ao número de HSMs no cluster. Caso contrário, saia e comece de novo.

  4. UsedeleteUser para excluir um usuário. 

    aws-cloudhsm>deleteUser CO example_officer

    O CMU exclui o usuário.

    
Deleting user example_officer(CO) on 3 nodes
deleteUser success on server 0(10.0.2.9)
deleteUser success on server 1(10.0.3.11)
deleteUser success on server 2(10.0.1.12)

Para obter mais informações sobredeleteUser, consulte DeleteUser.