使用 CloudHSM 管理实用程序 (CMU, CloudHSM Management Utility) 管理仲裁身份验证（M of N 访问控制）

AWS CloudHSM 集群中的 HSM 支持法定身份验证，也称为 M of N 访问控制。对于仲裁身份验证，HSM 上的单个用户不能在 HSM 上执行仲裁控制型操作。必须有最少数量 (至少 2 个) 的 HSM 用户合作才能执行这些操作。对于仲裁身份验证，要求多个 HSM 用户批准，这样可以增加一层额外的保护。

仲裁身份验证可以控制以下操作：

• 由加密员（CO） 进行的 HSM 用户管理：创建和删除 HSM 用户，以及更改其他 HSM 用户的密码。有关更多信息，请参阅 使用面向加密员（CO）的 Quorum 身份验证。

下列主题提供了有关 AWS CloudHSM中的仲裁身份验证的更多信息。

主题

• 仲裁身份验证概述
• 有关仲裁身份验证的其他详细信息
• 使用面向加密员（CO）的仲裁身份验证：首次设置
• 使用面向加密员（CO）的 Quorum 身份验证
• 为加密员（CO）更改仲裁最小值

仲裁身份验证概述

下列步骤概括了仲裁身份验证过程。有关特定步骤和工具，请参阅使用面向加密员（CO）的 Quorum 身份验证。

1. 每个 HSM 用户都将创建用于签名的非对称密钥。他们在 HSM 外部执行此操作，并注意适当保护密钥。

2. 每个 HSM 用户都将登录 HSM 并向 HSM 注册其签名密钥的公有部分 (公有密钥)。

3. 当 HSM 用户要执行仲裁控制型操作时，该用户将登录 HSM 并获取仲裁令牌。

4. HSM 用户将仲裁令牌提供给一个或多个其他 HSM 用户并请求其批准。

5. 其他 HSM 用户通过使用其密钥对仲裁令牌进行加密签名来进行批准。上述操作是在 HSM 外部进行的。

6. 当 HSM 用户获得所需数量的批准后，同一用户将登录 HSM 并向 HSM 提供仲裁令牌和批准 (签名)。

7. HSM 将使用每个签署人的已注册公有密钥来验证签名。如果签名有效，HSM 将批准此令牌。

8. HSM 用户现在可以执行仲裁控制型操作。

有关仲裁身份验证的其他详细信息

注意以下有关在 AWS CloudHSM中使用仲裁身份验证的更多信息。

• HSM 用户可为自己的仲裁令牌签名，也就是说，请求用户可提供仲裁身份验证所需的批准之一。

• 为仲裁控制型操作选择最小数量的仲裁审批者。您可以选择的最小数字是二（2），您可以选择的最大数字是八（8）。

• HSM 可容纳多达 1024 个仲裁令牌。如果 HSM 在您尝试创建新的令牌时已有 1024 个令牌，HSM 将清除过期令牌之一。默认情况下，令牌将在创建 10 分钟后过期。

• 集群使用相同的密钥进行仲裁身份验证和双重身份验证 (2FA, two-factor authentication)。有关使用仲裁身份验证和双因素身份验证的更多信息，请参阅仲裁身份验证和双因素身份验证。