Alterar o valor mínimo do quorum para responsáveis pela criptografia - AWS CloudHSM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Alterar o valor mínimo do quorum para responsáveis pela criptografia

Depois de definir o valor mínimo do quorum para que os oficiais de criptografia (COs) possam usar a autenticação de quorum, você pode querer alterar o valor mínimo do quorum. O HSM permite que você altere o valor mínimo de quorum somente quando o número de aprovadores é igual ou superior ao valor mínimo do quorum atual. Por exemplo, se o valor mínimo do quorum for dois, pelo menos dois COs deverão aprovar para alterar o valor mínimo de quorum.

Para obter a aprovação do quorum para alterar o valor mínimo do quorum, você precisa de um token de quorum para o comando setMValue (serviço 4). Para obter um token de quorum para o comando setMValue (serviço 4), o valor mínimo de quorum para o serviço 4 deve ser maior que um. Isso significa que, antes que você possa alterar o valor mínimo de quorum para os COs (serviço 3), talvez seja necessário alterar o valor mínimo de quorum para o serviço 4.

A tabela a seguir lista os identificadores de serviço do HSM junto com seus nomes, descrições e comandos incluídos no serviço.

Identificadores de dispositivo Nome do serviço Descrição do serviço Comandos do HSM
3 USER_MGMT Gerenciamento de usuários do HSM

  • createUser

  • deleteUser

  • changePswd (aplica-se somente ao alterar a senha de outro usuário do HSM)
4 MISC_CO Serviço de CO diverso

  • setMValue
Para alterar o valor mínimo do quorum para oficiais de criptografia

  1. Use o comando a seguir para iniciar a ferramenta de linha de comando cloudhsm_mgmt_util.

    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg

  2. Use o comando loginHSM para fazer login nos HSMs como CO. Para ter mais informações, consulte Gerenciar usuários do HSM com o CloudHSM Management Utility (CMU).

  3. Use o comando getMValue para obter o valor mínimo de quorum para o serviço 3. Para obter mais informações, veja o exemplo a seguir.

  4. Use o comando getMValue para obter o valor mínimo de quorum para o serviço 4. Para obter mais informações, veja o exemplo a seguir.

  5. Se o valor mínimo de quorum para o serviço 4 for menor que o valor para o serviço 3, use o comando setMValue para alterar o valor do serviço 4. Altere o valor do serviço 4 para um que seja igual ou superior ao valor do serviço 3. Para obter mais informações, veja o exemplo a seguir.

  6. Obtenha um token de quorum, tendo o cuidado de especificar o serviço 4 como o serviço para o qual você pode usar o token.

  7. Obtenha aprovações (assinaturas) de outros COs.

  8. Aprove o token no HSM.

  9. Use o comando setMValue para alterar o valor mínimo do quorum para o serviço 3 (operações de gerenciamento de usuários realizadas por COs).

exemplo Obter valores mínimos de quorum e alterar o valor do serviço 4

O comando de exemplo a seguir mostra que o valor mínimo do quorum para o serviço 3 é atualmente dois.

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

O comando de exemplo a seguir mostra que o valor mínimo de quorum para o serviço 4 é atualmente um.

aws-cloudhsm>getMValue 4
MValue of service 4[MISC_CO] on server 0 : [1]
MValue of service 4[MISC_CO] on server 1 : [1]

Para alterar o valor mínimo do quorum para o serviço 4, use o comando setMValue, definindo um valor igual ou superior ao valor do serviço 3. O exemplo a seguir define o valor mínimo do quorum para o serviço 4 como dois (2), o mesmo valor definido para o serviço 3.

aws-cloudhsm>setMValue 4 2
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
Setting M Value(2) for 4 on 2 nodes

Os seguintes comandos mostram que o valor mínimo do quorum é agora dois para o serviço 3 e o serviço 4.

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
aws-cloudhsm>getMValue 4
MValue of service 4[MISC_CO] on server 0 : [2]
MValue of service 4[MISC_CO] on server 1 : [2]