使用 Cloud 生成法定令牌 HSM CLI - AWS CloudHSM
用户类型语法示例参数相关 主题

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Cloud 生成法定令牌 HSM CLI

使用 Cloud HSM CLI 中的quorum token-sign generate命令为法定人数授权的服务生成令牌。

对于服务用户和法定人数,HSM集群上每个服务的每个用户获取一个活动令牌是有限制的。

注意

只有管理员才能生成服务令牌。

管理员服务:法定身份验证用于管理员特权服务,例如创建用户、删除用户、更改用户密码、设置法定值以及停用法定人数和权能。MFA

每个服务类型都进一步细分为限定服务名称,其中包含一组特定的、可执行的仲裁支持服务操作。

服务名称 服务类型 服务操作
用户 Admin

  • user create

  • user delete

  • user change-password

  • user change-mfa
仲裁 Admin

  • 法定代币符号 set-quorum-value
集群 1 Admin

  • 集群 mtls register-trust-anchor

  • 集群 mtls deregister-trust-anchor

  • 集群 mtls 集合强制

[1] 集群服务仅在 hsm2m.medium 上提供

用户类型

以下用户均可运行此命令。

  • Admin

  • 加密用户 (CU)

语法

aws-cloudhsm > help quorum token-sign generate
Generate a token

Usage: quorum token-sign generate --service <SERVICE> --token <TOKEN>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --service <SERVICE>
          Service the token will be used for

          Possible values:
          - user:
            User management service is used for executing quorum authenticated user management operations
          - quorum:
            Quorum management service is used for setting quorum values for any quorum service
          - cluster: 
            Cluster management service is used for executing quorum for cluster wide configuration managements like mtls enforcement, mtls registration and mtls deregistration
          - registration:
            Registration service is used for registering a public key for quorum authentication

      --token <TOKEN>
          Filepath where the unsigned token file will be written
  -h, --help                     Print help

示例

此命令会将集群HSM中每个未签名的令牌写入到指定的token文件中。

例 : HSM 在你的集群中每人写一个未签名的令牌
aws-cloudhsm > quorum token-sign generate --service user --token /home/tfile
{
  "error_code": 0,
  "data": {
    "filepath": "/home/tfile"
  }
}

参数

<CLUSTER_ID>

要运行此操作的集群的 ID。

必需:如果已配置多个集群。

<SERVICE>

指定要为其生成令牌的仲裁授权服务。此参数为必需参数。

有效值

  • 用户:用于执行仲裁授权用户管理操作的用户管理服务。

  • 仲裁:用于为任何仲裁授权服务设置仲裁授权仲裁值的仲裁管理服务。

  • c luster:集群管理服务,用于执行集群范围的配置管理的法定人数,例如 mtls 强制执行、mtls 注册和 mtls 注销。

  • 注册:生成用于注册仲裁授权公有密钥的未签名令牌。

必需:是

<TOKEN>

将写入未签名令牌文件的文件路径。

必需:是

相关 主题