Usando o CloudHSM Management Utility (CMU) para gerenciar usuários - AWS CloudHSM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando o CloudHSM Management Utility (CMU) para gerenciar usuários

Este tópico fornece instruções passo a passo sobre o gerenciamento de usuários do módulo de segurança de hardware (HSM) com o CloudHSM Management Utility (CMU), uma ferramenta de linha de comando que vem com o SDK do cliente. Para obter mais informações sobre usuários CMU ou HSM, consulteUtilitário de gerenciamento CloudHSMeNoções básicas do HSM.

Entendendo o gerenciamento de usuários do HSM com CMU

Para gerenciar usuários do HSM, você deve fazer login no HSM com o nome de usuário e a senha de umoficial de criptografia(CO). Somente os COs podem gerenciar usuários. O HSM contém um CO padrão chamado admin. Você define a senha paraadminQuando vocêativou o cluster.

Para usar a CMU, você deve usar a ferramenta de configuração para atualizar a configuração local. CMU cria sua própria conexão com o cluster e essa conexão énãoconsciente de cluster. Para rastrear informações de cluster, o CMU mantém um arquivo de configuração local. Isso significa quecada vezvocê usa CMU, primeiro você deve atualizar o arquivo de configuração executando oconfiguramferramenta de linha de comando com o--cmuparâmetro . Se você estiver usando o Client SDK 3.2.1 ou anterior, deverá usar um parâmetro diferente do--cmu. Para obter mais informações, consulte Usar CMU com o Client SDK 3.2.1 e anteriores.

O--cmuO parâmetro requer que você adicione o endereço IP de um HSM no cluster. Se você tiver vários HSMs, poderá usar qualquer endereço IP. Isso garante que a CMU possa propagar todas as alterações feitas em todo o cluster. Lembre-se de que a CMU usa seu arquivo local para rastrear informações do cluster. Se o cluster tiver sido alterado desde a última vez que você usou CMU de um host específico, você deverá adicionar essas alterações ao arquivo de configuração local armazenado nesse host. Nunca adicione ou remova um HSM enquanto estiver usando CMU.

Para obter um endereço IP para um HSM (console)

  1. Abrir oAWS CloudHSMConsole nohttps://console.aws.amazon.com/cloudhsm/.

  2. Para alterar a região da AWS, use o seletor de região no canto superior direito da página.

  3. No painel de navegação, escolha Clusters.

  4. Para abrir a página de detalhes do cluster, na tabela de cluster, escolha o ID do cluster.

  5. Para obter o endereço IP, na guia HSMs, escolha um dos endereços IP listados emEndereço IP ENI.

Para obter um endereço IP para um HSM (AWS CLI)

  • Obter o endereço IP de um HSM usando odescribe-clusterscomando doAWS CLI. Na saída do comando, o endereço IP dos HSMs são os valores deEniIp.

    $ aws cloudhsmv2 describe-clusters { "Clusters": [ { ... } "Hsms": [ { ... "EniIp": "10.0.0.9", ... }, { ... "EniIp": "10.0.1.6", ...

Usar CMU com o Client SDK 3.2.1 e anteriores

Com o Client SDK 3.3.0,AWS CloudHSMO adicionou suporte para o--cmuparâmetro, que simplifica o processo de atualização do arquivo de configuração para CMU. Se você estiver usando uma versão da CMU do Client SDK 3.2.1 ou anterior, você deve continuar a usar o-ae-mparâmetros para atualizar o arquivo de configuração. Para obter mais informações sobre esses parâmetros, consulteFerramenta Configure.

Baixe o CloudHSM Management Utility

A versão mais recente do CMU está disponível para tarefas de gerenciamento de usuários do HSM, esteja você usando o Client SDK 5 e o Client SDK 3.

Para baixar e instalar o CMU

  • Faça download e instale o CMU.

    Amazon Linux
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL6/cloudhsm-mgmt-util-latest.el6.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el6.x86_64.rpm
    Amazon Linux 2
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    CentOS 7.8+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    CentOS 8.3+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    RHEL 7.8+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
    RHEL 8.3+
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
    Ubuntu 16.04 LTS
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Xenial/cloudhsm-mgmt-util_latest_amd64.deb
    $ sudo apt install ./cloudhsm-mgmt-util_latest_amd64.deb
    Ubuntu 18.04 LTS
    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Bionic/cloudhsm-mgmt-util_latest_u18.04_amd64.deb
    $ sudo apt install ./cloudhsm-mgmt-util_latest_u18.04_amd64.deb
    Windows Server 2012
    1. BaixarUtilitário de gerenciamento CloudHSM.

    2. Execute o instalador CMU (Arquivo AWSCloudHSMManagementUtil-latest.msi) com privilégio administrativo do Windows.

    Windows Server 2012 R2
    1. BaixarUtilitário de gerenciamento CloudHSM.

    2. Execute o instalador CMU (Arquivo AWSCloudHSMManagementUtil-latest.msi) com privilégio administrativo do Windows.

    Windows Server 2016
    1. BaixarUtilitário de gerenciamento CloudHSM.

    2. Execute o instalador CMU (Arquivo AWSCloudHSMManagementUtil-latest.msi) com privilégio administrativo do Windows.

Como gerenciar usuários do HSM com CMU

Esta seção inclui comandos básicos para gerenciar usuários do HSM com CMU.

Usar ocreateUserPara criar novos usuários no HSM. Você deve fazer login como CO para criar um usuário.

Para criar um novo usuário CO

  1. Use a ferramenta de configuração para atualizar a configuração da CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Inicie a CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Fazer login no HSM como um usuário CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Verifique se o número de conexões de listas CMU correspondem ao número de HSMs no cluster. Caso contrário, faça logout e comece de novo.

  4. Usar ocreateUserpara criar um usuário de CO chamadoexample_officercom uma senha depassword1.

    aws-cloudhsm>createUser CO example_officer password1

    A CMU solicita a você sobre a operação de criação do usuário.

    *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
  5. Digite y.

Para criar um novo usuário CU

  1. Use a ferramenta de configuração para atualizar a configuração da CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Inicie a CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Fazer login no HSM como um usuário CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Verifique se o número de conexões de listas CMU correspondem ao número de HSMs no cluster. Caso contrário, faça logout e comece de novo.

  4. Usar ocreateUserpara criar um usuário de UC chamadoexample_usercom uma senha depassword1.

    aws-cloudhsm>createUser CU example_user password1

    A CMU solicita a você sobre a operação de criação do usuário.

    *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
  5. Digite y.

Para obter mais informações sobrecreateUser, consultecreateUser.

Usar olistUserspara listar todos os usuários no cluster. Você não precisa fazer login para executarlistUserse todos os tipos de usuário podem listar usuários.

Para listar todos os usuários no cluster

  1. Use a ferramenta de configuração para atualizar a configuração da CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Inicie a CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Usar olistUsersPara listar todos os usuários no cluster.

    aws-cloudhsm>listUsers

    A CMU relaciona todos os usuários no cluster.

    Users on server 0(10.0.2.9): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO example_officer NO 0 NO 4 CU example_user NO 0 NO Users on server 1(10.0.3.11): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO example_officer NO 0 NO 4 CU example_user NO 0 NO Users on server 2(10.0.1.12): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO example_officer NO 0 NO 4 CU example_user NO 0 NO

    O PCO é o CO primeiro criado em cada HSM. O PCO é conhecido como oprimáriaCO e esse CO têm as mesmas permissões que qualquer outro CO.

Para obter mais informações sobrelistUsers, consultelistUsers.

Usar ochangePswdpara alterar uma senha.

Os tipos de usuários e as senhas são sensíveis à maiúsculas, mas os nomes de usuários não são sensíveis à

CO, usuário de criptografia (CU) e usuário do equipamento (AU) podem alterar sua própria senha. Para alterar o passowrd de outro usuário, você deve fazer login como CO. No entanto, não é possível alterar a senha de um usuário que está conectado no momento.

Para alterar sua própria senha

  1. Use a ferramenta de configuração para atualizar a configuração da CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Inicie a CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Faça login no HSM.

    aws-cloudhsm>loginHSM CO admin co12345

    Verifique se o número de conexões de listas CMU correspondem ao número de HSMs no cluster. Caso contrário, faça logout e comece de novo.

  4. Usar ochangePswdPara alterar sua própria senha.

    aws-cloudhsm>changePswd CO example_officer <new password>

    A CMU solicita a você sobre a operação de alteração de senha.

    *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
  5. Digite y.

    A CMU solicita a você sobre a operação de alteração de senha.

    Changing password for example_officer(CO) on 3 nodes

Para alterar a senha de outro usuário

  1. Use a ferramenta de configuração para atualizar a configuração da CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Inicie a CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Fazer login no HSM como um usuário CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Verifique se o número de conexões de listas CMU correspondem ao número de HSMs no cluster. Caso contrário, faça logout e comece de novo.

  4. Usar ochangePswdPara alterar a senha de outro usuário.

    aws-cloudhsm>changePswd CU example_user <new password>

    A CMU solicita a você sobre a operação de alteração de senha.

    *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
  5. Digite y.

    A CMU solicita a você sobre a operação de alteração de senha.

    Changing password for example_user(CU) on 3 nodes

Para obter mais informações sobrechangePswd, consultechangePswd.

Usar odeleteUserPara excluir um usuário. Você deve fazer login como CO para excluir outro usuário.

dica

Não é possível excluir usuários de criptografia (CU) que possuem chaves.

Para excluir um usuário

  1. Use a ferramenta de configuração para atualizar a configuração da CMU.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM>configure.exe --cmu <IP address>
  2. Inicie a CMU.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
    Windows
    C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
  3. Fazer login no HSM como um usuário CO.

    aws-cloudhsm>loginHSM CO admin co12345

    Verifique se o número de conexões de listas CMU correspondem ao número de HSMs no cluster. Caso contrário, faça logout e comece de novo.

  4. Usar odeleteUserPara excluir um usuário.

    aws-cloudhsm>deleteUser CO example_officer

    O CMU exclui o usuário.

    Deleting user example_officer(CO) on 3 nodes deleteUser success on server 0(10.0.2.9) deleteUser success on server 1(10.0.3.11) deleteUser success on server 2(10.0.1.12)

Para obter mais informações sobredeleteUser, consultedeleteUser.