變更管理員的規定人數最小值 - AWS CloudHSM

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

變更管理員的規定人數最小值

當您為了讓管理員可以使用規定人數身分驗證而設定規定人數最小值之後,您可能想要變更規定人數最小值。只有當核准者數目等於或大於目前規定人數最小值時,HSM 才允許您變更規定人數最小值。例如,如果規定人數最小值是二 (2),則至少兩 (2) 個管理員必須核准,才能變更規定人數最小值。

注意

使用者服務的規定人數值必須永遠小於規定人數服務的規定人數值。如需關於服務名稱的資訊,例如規定人數服務和使用者服務,請參閱 支援規定人數身分驗證的服務名稱和類型

若要取得規定人數核准來變更規定人數最小值,您需要規定人數權杖來用於使用 quorum token-sign set-quorum-value 命令的 quorum service。若要為使用 quorum token-sign set-quorum-value 命令的 quorum service 產生規定人數權杖,規定人數服務必須大於一 (1)。這表示您可能需要變更規定人數服務 的規定人數最小值才能變更使用者服務的規定人數最小值。

若要變更管理員的規定人數最小值

  1. 使用下列命令啟動 CloudHSM CLI 互動式模式。

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\> .\cloudhsm-cli.exe interactive

  2. 使用 login 命令並以管理員身分登入叢集。

    aws-cloudhsm>login --username <admin> --role admin

  3. 使用 quorum token-sign list-quorum-values 命令取得所有服務名稱的規定人數最小值。如需詳細資訊,請參閱下列範例。

  4. 如果規定人數服務的規定人數最小值低於使用者服務的值,請使用 quorum token-sign set-quorum-value 命令來變更規定人數服務的值。將規定人數服務的值變更為等於或大於使用者服務的值的一 (1)。如需詳細資訊,請參閱下列範例。

  5. 產生規定人數權杖,且應該指定規定人數服務作為您可將權杖用於其中的服務。

  6. 向其他管理員取得核准 (簽章)

  7. 核准 AWS CloudHSM 叢集上的權杖並執行使用者管理作業。

  8. 使用 quorum token-sign set-quorum-value 命令變更使用者服務的規定人數最小值。

範例 – 取得規定人數最小值並變更規定人數服務

以下範例命令顯示使用者服務的規定人數最小值目前是二 (2)。

aws-cloudhsm > quorum token-sign list-quorum-values{
  "error_code": 0,
  "data": {
    "user": 2,
    "quorum": 1
  }
}

若要變更規定人數服務的規定人數最小值,請使用 quorum token-sign set-quorum-value 命令,並設定等於或大於使用者服務之值的值。以下範例將規定人數服務的規定人數最小值設為二 (2),與為使用者服務設定的值相同。

aws-cloudhsm > quorum token-sign set-quorum-value --service quorum --value 2{
  "error_code": 0,
  "data": "Set quorum value successful"
}

以下命令顯示使用者服務規定人數服務的規定人數最小值現在是二 (2)。

aws-cloudhsm > quorum token-sign list-quorum-values{
  "error_code": 0,
  "data": {
    "user": 2,
    "quorum": 2
  }
}