本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 同步 AWS CloudHSM 叢集中的使用者 CMU
使用 AWS CloudHSM cloudhsm_mgmt_util 中的 syncUser命令,在叢集內的HSM執行個體或複製的叢集之間手動同步加密使用者 (CUs) 或加密管理員 (COs)。 AWS CloudHSM 不會自動同步使用者。一般而言,您會以全域模式管理使用者,以便叢集HSMs中的所有 一起更新。syncUser 如果意外取消同步 HSM (例如,由於密碼變更) 或您想要輪換複製叢集的使用者憑證,您可能需要使用 。複製的叢集通常在不同 AWS 區域中建立,以簡化全域擴展和災難復原程序。
執行任何CMU命令之前,您必須先啟動CMU並登入 HSM。請確認您所登入的使用者帳戶類型能夠執行您要使用的命令。
如果您新增或刪除 HSMs,請更新 的組態檔案CMU。否則,您所做的變更可能對叢集HSMs中的所有 都無效。
使用者類型
下列類型的使用者可以執行此命令。
-
加密管理員 (CO)
必要條件
開始之前,您必須知道來源上的user ID使用者 HSM要與目的地 同步HSM。若要尋找 user ID,請使用 listUsers命令列出叢集HSMs中 上的所有使用者。
您也需要知道server ID指派給來源和目的地 的 HSMs,這些 會顯示在啟動時 cloudhsm_mgmt_util 傳回的追蹤輸出中。這些指派順序與 HSMs出現在組態檔案中的順序相同。
如果您要HSMs跨複製叢集同步,請遵循CMU跨複製叢集使用中的指示,並使用新的組態檔案初始化 cloudhsm_mgmt_util。
當您準備好執行 時syncUser,HSM請發出 server命令,在來源上進入伺服器模式。
語法
因為此命令未指明具體參數,所以您須依照語法圖表中指定的順序輸入引數。
syncUser<user ID><server ID>
範例
執行 server命令以登入來源HSM並進入伺服器模式。在此範例中,我們假設 server 0是來源 HSM。
aws-cloudhsm>server 0
現在執行 syncUser 命令。在此範例中,我們假設使用者6是要同步的使用者,而 server 1是目的地 HSM。
server 0> syncUser 6 1ExtractMaskedObject: 0x0 ! InsertMaskedObject: 0x0 ! syncUser success
引數
因為此命令未指明具體參數,所以您須依照語法圖表中指定的順序輸入引數。
syncUser<user ID><server ID>
- <user ID>
-
指定要同步的使用者 ID。每一個命令中只能指定一個使用者。若要取得使用者的 ID,請使用 listUsers。
必要:是
- <server ID>
-
指定HSM您要同步使用者的伺服器號碼。
必要:是
相關主題
-
describe-clusters in AWS CLI
