本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
createUser
使用 cloudhsm_mgmt_util 中的 createUser 命令可在 HSM 上创建一个用户。只有加密员(CO 和 PRECO)才能运行此命令。如果命令成功,它将在群集的所有 HSM 中创建该用户。
如果您的 HSM 配置不正确,可能不会在所有 HSM 上创建该用户。要将该用户添加到其上缺少该用户的任何 HSM,请仅在缺少该用户的 HSM 上使用 syncUser 或 createUser 命令。要防止配置错误,请运行配置工具与 -m 选项。
在运行任何 CMU 命令之前,必须启动 CMU 并登录 HSM。请确保使用可运行您计划使用的命令的用户类型登录。
如果您要添加或删除 HSM,请更新 CMU 的配置文件。否则,您所做的更改可能不会对集群中的所有 HSM 生效。
用户类型
以下类型的用户均可运行此命令。
-
加密员(CO 和 PRECO)
语法
按照语法图表中指定的顺序输入参数。使用 -hpswd 参数来掩盖您的密码。要创建采用双重身份验证 (2FA, two-factor authentication) 的 CO 用户,请使用 -2fa 参数并添加文件路径。有关更多信息,请参阅 参数。
createUser <user-type> <user-name> <password|-hpswd> [-2fa </path/to/authdata>]
示例
这些示例说明如何使用 createUser 在 HSM 中创建新用户。
例 :创建加密员
此示例在群集的 HSM 上创建加密员 (CO)。第一个命令使用 loginHSM 以加密管理者身份登录 HSM。
aws-cloudhsm>loginHSM CO admin 735782961loginHSM success on server 0(10.0.0.1) loginHSM success on server 1(10.0.0.2) loginHSM success on server 1(10.0.0.3)
第二个命令使用 createUser 命令在 HSM 上创建新的加密管理者 alice。
警告消息说明,此命令将在群集的所有 HSM 上创建用户。但是,如果此命令在任何 HSM 上失败,这些 HSM 上将不存在用户。要继续,请键入 y。
输出显示,已在群集的所有三个 HSM 上创建新用户。
aws-cloudhsm>createUser CO alice 391019314*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User alice(CO) on 3 nodes
当此命令完成后,alice 将在 HSM 上具有与 admin CO 用户相同的权限,包括更改 HSM 上任何用户的密码。
最后一个命令使用 listUsers 命令验证群集的所有三个 HSM 上是否存在 alice。输出还显示,已为 alice 分配用户 ID 3。.您可以使用用户 ID alice 在其他命令中进行识别,例如findAllKeys。
aws-cloudhsm>listUsersUsers on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.2): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.3): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO
例 :创建加密用户
此示例将在 HSM 上创建一个加密用户 (CU) bob。加密用户可以创建和管理密钥,但无法管理用户。
在键入 y 以响应警告消息之后,输出显示,已在群集的所有三个 HSM 上创建 bob。新 CU 可以登录 HSM 来创建和管理密钥。
此命令使用了密码值 defaultPassword。之后,bob 或任何 CO 可以使用 changePswd 命令来更改其密码。
aws-cloudhsm>createUser CU bob defaultPassword*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User bob(CU) on 3 nodes
参数
按照语法图表中指定的顺序输入参数。使用 -hpswd 参数来掩盖您的密码。要创建启用 2FA 的 CO 用户,请使用 -2fa 参数并添加文件路径。有关 2FA 的更多信息,请参阅 使用 CMU 管理 2FA。
createUser <user-type> <user-name> <password|-hpswd> [-2fa </path/to/authdata>]
- <user-type>
-
指定用户类型。此参数为必需参数。
有关 HSM 上的用户类型的详细信息,请参阅 了解 HSM 用户。
有效值:
-
CO:加密员可以管理用户,但无法管理密钥。
-
CU:加密用户可以创建管理密钥并在加密操作中使用密钥。
当您在 HSM 激活期间分配密码时,PRECO 将转换为 CO。
必需:是
-
- <user-name>
-
为用户指定友好名称。最大长度为 31 个字符。唯一允许的特殊字符是下划线 ( _ )。
用户名在创建之后无法更改。在 cloudhsm_mgmt_util 命令中,用户类型和密码都区分大小写,但用户名不区分大小写。
必需:是
- <password | -hpswd >
-
为用户指定密码。输入一个包含 7 到 32 个字符的字符串。此值区分大小写。密码在键入时将明文显示。要隐藏密码,请使用
-hpswd参数代替密码,然后按照提示操作。要更改用户密码,请使用 changePswd。任何 HSM 用户都可以更改自己的密码,但 CO 用户可以更改 HSM 上任何类型的任何用户的密码。
必需:是
- [-2fa </path/to/authdata>]
-
指定创建启用了 2FA 的 CO 用户。要获取设置 2FA 身份验证所需的数据,请在
-2fa参数后加上文件系统中带有文件名的位置的路径。有关设置和使用 2FA 的更多信息,请参阅 使用 CMU 管理 2FA。必需:否
相关 主题
