As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como usar o CLI do CloudHSM para gerenciar a autenticação de quórum (controle de acesso M ou N)
Os HSMs em seu AWS CloudHSM cluster oferecem suporte à autenticação de quorum, que também é conhecida como controle de acesso M of N. Com a autenticação de quorum, nenhum usuário único no HSM pode fazer operações controladas pelo quorum no HSM. Em vez disso, um número mínimo de usuários do HSM (pelo menos 2) deve cooperar para realizar essas operações. Com a autenticação de quorum, você pode adicionar uma camada adicional de proteção, exigindo aprovação de mais de um usuário do HSM.
A autenticação de quorum pode controlar as seguintes operações:
-
Gerenciamento de usuários do HSM por administrador: criar e excluir usuários do HSM e alterar a senha de um usuário do HSM diferente. Para ter mais informações, consulte Usar a autenticação de quórum para administradores.
Os seguintes tópicos fornecem mais informações sobre a autenticação de quorum no AWS CloudHSM.
Tópicos
- Visão geral da autenticação de quórum com a estratégia de assinatura com token
- Detalhes adicionais sobre a autenticação de quorum
- Nomes e tipos de serviços que oferecem suporte à autenticação de quórum
- Usar a autenticação de quórum para administradores: configuração inicial
- Usar a autenticação de quórum para administradores
- Altere o valor mínimo do quórum para administradores
Visão geral da autenticação de quórum com a estratégia de assinatura com token
As etapas a seguir resumem os processos de autenticação de quorum. Para conhecer as etapas e ferramentas específicas, consulte Usar a autenticação de quórum para administradores.
-
Cada usuário do HSM cria uma chave assimétrica para assinatura. Isso é feito fora do HSM, tomando cuidado para proteger a chave apropriadamente.
-
Cada usuário do HSM faz login no HSM e registra a parte pública de sua chave de assinatura (a chave pública) no HSM.
-
Quando um usuário do HSM quer fazer uma operação controlada por quorum, ele faz login no HSM e obtém um token de quorum.
-
O usuário do HSM fornece esse token de quorum a um ou mais usuários do HSM e solicita sua aprovação.
-
Os outros usuários do HSM aprovam usando suas chaves para assinar criptograficamente o token de quorum. Isso ocorre fora do HSM.
-
Quando o usuário do HSM tem o número necessário de aprovações, ele faz login no HSM e executa a operação controlada por quórum com o argumento --approval, fornecendo o arquivo de token de quórum assinado, que contém todas as aprovações (assinaturas) necessárias.
-
O HSM usa as chaves públicas registradas de cada assinante para verificar as assinaturas. Se as assinaturas forem válidas, o HSM aprova o token e a operação controlada por quórum será executada.
Detalhes adicionais sobre a autenticação de quorum
Observe as seguintes informações adicionais sobre como usar a autenticação de quorum no AWS CloudHSM.
-
Um usuário do HSM pode assinar seu próprio token de quorum, ou seja, o usuário solicitante pode fornecer uma das aprovações necessárias para a autenticação de quorum.
-
Você escolhe o número mínimo de aprovadores de quorum para operações controladas por quorum. O menor número que é possível escolher é dois (2) e o maior número que é possível escolher é oito (8).
-
O HSM pode armazenar até 1024 tokens de quorum. Se o HSM já tiver 1024 tokens quando você tentar criar um novo, ele removerá um dos tokens expirados. Por padrão, tokens expiram dez minutos após sua criação.
-
Se MFA estiver ativada, o cluster usa a mesma chave para autenticação de quórum e para autenticação multifator (MFA). Para obter mais informações sobre o uso da autenticação de quórum e da 2FA, consulte Como usar a CLI do CloudHSM para gerenciar a MFA.
-
Cada HSM pode conter apenas um token por serviço por vez.
