registerQuorumPub鑰匙

cloudhsm_mgmt_util 中的 registerQuorumPubKey 命令可將硬體安全性模組 (HSM) 使用者與非對稱式 RSA-2048 金鑰配對相關聯。您將 HSM 使用者與金鑰建立關聯後，這些使用者就可以使用私有金鑰來核准規定人數要求，且叢集可以使用已註冊的公有金鑰來確認簽章是否來自使用者。如需有關規定人數身分驗證的詳細資訊，請參閱管理規定人數身分驗證 (M/N 存取控制)。

提示

在 AWS CloudHSM 文件中，法定驗證有時稱為 M in N (MoFn)，這表示總數 N 個核准人中最少有 M 個核准人。

使用者類型

下列類型的使用者可以執行此命令。

• 加密管理員 (CO)

語法

因為此命令未指明具體參數，所以您須依照語法圖表中指定的順序輸入引數。

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>

範例

此範例說明如何使用 registerQuorumPubKey 將加密管理員 (CO) 註冊為規定人數身分驗證要求的核准者。若要執行此命令，您須擁有非對稱 RSA-2048 金錀對、已簽署權杖和未簽署權杖。有關這些需求的詳細資訊，請參閱 引數。

範例 ：註冊 HSM 使用者以進行法定驗證

此範例會將名為 quorum_officer 的 CO 註冊為核准人，以進行規定人數身分驗證。

aws-cloudhsm> registerQuorumPubKey CO <quorum_officer> </path/to/quorum_officer.token> </path/to/quorum_officer.token.sig> </path/to/quorum_officer.pub>

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
registerQuorumPubKey success on server 0(10.0.0.1)

最後一個命令使用 listUsers 命令來驗證 quorum_officer 是否註冊為 MofN 使用者。

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              quorum_officer                          YES               0               NO

引數

因為此命令未指明具體參數，所以您須依照語法圖表中指定的順序輸入引數。

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>

<user-type>

指使用者的類型。此為必要參數。

如需 HSM 上使用者類型的詳細資訊，請參閱 了解 HSM 使用者。

有效值：

• CO：加密管理者可以管理使用者，但不能管理金鑰。

必要：是

<user-name>

為使用者指定易記的名稱。長度上限為 31 個字元。允許的唯一特殊字元是底線 (_)。

建立使用者之後，您就無法再變更使用者的名稱。在 cloudhsm_mgmt_util 命令中，使用者類型和密碼需區分大小寫，但使用者名稱不區分大小寫。

必要：是

<registration-token>

指定包含未簽署註冊權杖檔案的路徑。可包含最大 245 個位元組的任何隨機資料。如需有關建立未簽署註冊權杖的詳細資訊，請參閱建立並簽署註冊權杖。

必要：是

<signed-registration-token>

指包含註冊權杖的 SHA256_PKCS 機制簽署雜湊的文件的路徑。如需詳細資訊，請參閱建立並簽署註冊權杖。

必要：是

<public-key>

指包含非對稱 RSA-2048 金錀對的公有金鑰檔案的路徑。使用私有金鑰簽署註冊權杖。如需詳細資訊，請參閱建立 RSA 金鑰對。

必要：是

注意

叢集使用相同的金鑰進行規定人數身分驗證和雙重要素驗證 (2FA)。這表示您無法為使用 registerQuorumPubKey 啟用 2FA 的使用者輪換規定人數金鑰。若要輪換金鑰，您必須使用 changePswd。如需關於使用規定人數身分驗證和 2FA 的詳細資訊，請參閱規定人數身分驗證和 2FA。

相關主題

• 建立 RSA 金鑰對

• 建立並簽署註冊權杖

• 用 HSM 註冊公有金鑰

• 管理規定人數身分驗證 (M/N 存取控制)

• 規定人數驗證和 2FA

• listUsers