registerQuorumPubChave - AWS CloudHSM
Tipo de usuárioSintaxeExemplosArgumentosTópicos relacionados da

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

registerQuorumPubChave

O comando registerQuorumPubKey em cloudhsm_mgmt_util associa usuários do módulo de segurança de hardware (HSM) a pares de chaves RSA-2048 assimétricos. Depois de associar usuários do HSM às chaves, esses usuários podem usar a chave privada para aprovar solicitações de quórum e o cluster pode usar a chave pública registrada para verificar se a assinatura pertence ao usuário. Para obter mais informações sobre a autenticação de quórum, consulte Gerenciar a autenticação de quórum (controle de acesso M of N).

dica

Na AWS CloudHSM documentação, a autenticação de quórum às vezes é chamada de M de N (MoFN), o que significa um mínimo de M aprovadores de um número total de N aprovadores.

Tipo de usuário

Os seguintes tipos de usuários podem executar este comando.

  • Responsáveis pela criptografia (CO)

Sintaxe

Como esses comandos não têm parâmetros específicos, insira os argumentos na ordem especificada nos diagramas de sintaxe.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>

Exemplos

Este exemplo mostra como usar registerQuorumPubKey para registrar agentes criptográficos (CO) como aprovadores em solicitações de autenticação de quórum. Para executar esse comando, você deve ter um par de chaves RSA-2048 assimétrico, um token assinado e um token não assinado. Para receber mais informações sobre os requisitos, consulte Argumentos.

exemplo : registre um usuário do HSM para autenticação de quórum

Este exemplo registra um CO nomeado quorum_officer como aprovador da autenticação de quórum. 

aws-cloudhsm> registerQuorumPubKey CO <quorum_officer> </path/to/quorum_officer.token> </path/to/quorum_officer.token.sig> </path/to/quorum_officer.pub>

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
registerQuorumPubKey success on server 0(10.0.0.1)

O comando final usa o comando listUsers para verificar se quorum_officer está registrado como um usuário MoFN. 

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              quorum_officer                          YES               0               NO

Argumentos

Como esses comandos não têm parâmetros específicos, insira os argumentos na ordem especificada nos diagramas de sintaxe.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>
<user-type>

Especifica o tipo de usuário. Esse parâmetro é obrigatório.

Para obter informações detalhadas sobre os tipos de usuários em um HSM, consulte Noções básicas sobre usuários do HSM.

Valores válidos:

  • CO: Oficiais de criptografia podem gerenciar usuários, mas não conseguem gerenciar chaves.

Obrigatório: Sim

<user-name>

Especifica um nome amigável para o usuário. O tamanho máximo é de 31 caracteres. O único caractere especial permitido é um sublinhado ( _ ).

Não é possível alterar o nome de um usuário após sua criação. Em comandos da cloudhsm_mgmt_util, o tipo de usuário e a senha diferenciam maiúsculas de minúsculas, mas o nome do usuário não diferencia.

Obrigatório: Sim

<registration-token>

Especifica o caminho para um arquivo que contém um token de registro não assinado. Pode ter qualquer dado aleatório com tamanho máximo de arquivo de 245 bytes. Para obter mais informações sobre como criar um token de registro não assinado, consulte Criar e assinar um token de registro.

Obrigatório: Sim

<signed-registration-token>

Especifica o caminho para um arquivo que contém o hash assinado pelo mecanismo SHA256_PKCS do token de registro. Para obter mais informações, consulte Criar e assinar um token de registro.

Obrigatório: Sim

<public-key>

Especifica o caminho para o arquivo que contém uma chave pública de um par de chaves assimétrico RSA-2048. Use a chave privada para assinar o token de registro. Para obter mais informações, consulte Criar um par de chaves.

Obrigatório: Sim

nota

O cluster usa a mesma chave para autenticação de quórum e para autenticação de dois fatores (2FA). Isso significa que você não pode alternar uma chave de quórum para um usuário que tenha o 2FA ativado usando registerQuorumPubKey. Para alternar a chave, você deve usar changePswd. Para obter mais informações sobre como usar a autenticação de quórum e a 2FA, consulte Autenticação de quórum e 2FA.

Tópicos relacionados da