使用 CloudHSM CLI 管理規定人數身分驗證 (M/N 個存取控制)

AWS CloudHSM 叢集中的 HSM 支援仲裁驗證，也稱為 M in N 存取控制。有了規定人數身分驗證，HSM 上沒有任何單一使用者可以在 HSM 上執行由規定人數控制的操作。相對地，必須有最低數量的 HSM 使用者 (至少 2 個) 合作來執行這些操作。有了規定人數身分驗證，您可以透過要求來自一個以上 HSM 使用者的核准來新增一層額外的保護。

規定人數身分驗證可以控制以下操作：

• 由管理員管理的 HSM 使用者：會建立和刪除 HSM 使用者，以及變更不同 HSM 使用者的密碼。如需詳細資訊，請參閱 將規定人數身分驗證用於管理員。

下列主題提供 AWS CloudHSM中的規定人數身分驗證的詳細資訊。

主題

• 使用權杖簽署策略的規定人數身分驗證概觀
• 關於規定人數身分驗證的其他詳細資訊
• 支援規定人數身分驗證的服務名稱和類型
• 對管理員使用規定人數身分驗證：首次設定
• 將規定人數身分驗證用於管理員
• 變更管理員的規定人數最小值

使用權杖簽署策略的規定人數身分驗證概觀

下列步驟彙總規定人數身分驗證程序。如需特定步驟和工具，請參閱 將規定人數身分驗證用於管理員。

1. 每個 HSM 使用者會建立非對稱金鑰供簽署使用。使用者會在 HSM 外部執行此動作，以適當方式保護金鑰。

2. 每個 HSM 使用者會登入 HSM，並向 HSM 註冊使用者的簽署金鑰 (公有金錀) 的公有部分。

3. HSM 使用者想要執行由規定人數控制的操作時，使用者會登入 HSM，並取得規定人數權杖。

4. HSM 使用者會將規定人數字符提供給一或多個其他 HSM 使用者，並要求其核准。

5. 其他 HSM 使用者透過使用自己的金鑰以密碼編譯方式簽署規定人數字符來進行核准。這是在 HSM 外部進行。

6. 當 HSM 使用者具有所需的核准數目時，相同的使用者會登入 HSM 並使用 --approval 引數執行規定人數控制的操作，並提供已簽署的規定人數權杖檔案，其中包含所有必要的核准 (簽章)。

7. HSM 會使用每個簽署者註冊的公有金鑰來驗證簽章。如果簽章有效，HSM 會核准權杖，並執行規定人數控制的操作。

關於規定人數身分驗證的其他詳細資訊

請注意關於在 AWS CloudHSM中使用規定人數身分驗證的下列額外資訊。

• HSM 使用者可以簽署自己的規定人數權杖—也就是說，要求的使用者可以針對規定人數身分驗證提供其中一個需要的核准。

• 您可以針對由規定人數控制的操作選擇最低數量的規定人數核准者。您可以選擇的最小數字是二 (2)，您可以選擇的最大數字是八 (8)。

• HSM 最多可存放最多 1024 個規定人數字符。當您嘗試建立新的字符時，如果 HSM 已經有 1024 個字符，HSM 會清除其中一個過期的字符。在預設情況下，字符會在建立後的十分鐘後過期。

• 如果已啟用 MFA，叢集會使用相同的金鑰進行規定人數身分驗證和多重要素驗證 (MFA)。如需使用規定人數身分驗證和 2FA 的詳細資訊，請參閱使用 CloudHSM CLI 管理 MFA。

• 每個 HSM 一次只能包含一個服務的權杖。