變更加密管理員的規定人數最小值 - AWS CloudHSM

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

變更加密管理員的規定人數最小值

當您為了讓加密管理員 (CO) 可以使用規定人數身分驗證而設定規定人數最小值之後,您可能想要變更規定人數最小值。只有當核准者數目等於或大於目前規定人數最小值時,HSM 才允許您變更規定人數最小值。例如,如果規定人數最小值是 2,則至少兩個 CO 必須核准,才能變更規定人數最小值。

若要取得規定人數核准來變更規定人數最小值,您需要規定人數字符來用於 setMValue 命令 (服務 4)。若要取得 setMValue 命令的規定人數字符 (服務 4),服務 4 的規定人數最小值必須大於 1。這表示您可能需要變更服務 4 的規定人數最小值,才能變更 CO 的規定人數最小值 (服務 3)。

HSM 服務識別符及其名稱、說明和服務中包含的命令如下表所列。

服務識別符 服務名稱 服務描述 HSM 命令
3 USER_MGMT HSM 使用者管理

  • createUser

  • deleteUser

  • changePswd (僅在變更不同 HSM 使用者的密碼時適用)
4 MISC_CO 其他 CO 服務

  • setMValue
變更加密主管的規定人數最小值

  1. 使用下列命令來啟動 cloudhsm_mgmt_util 命令列工具。

    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg

  2. 使用 loginHSM 命令以 CO 身分登入 HSM。如需詳細資訊,請參閱 使用 CloudHSM 管理公用程式 (CMU) 管理 HSM 使用者

  3. 使用 getMValue 命令取得服務 3 的規定人數最小值。如需詳細資訊,請參閱下列範例。

  4. 使用 getMValue 命令取得服務 4 的規定人數最小值。如需詳細資訊,請參閱下列範例。

  5. 如果服務 4 的規定人數最小值低於服務 3 的值,請使用 setMValue 命令來變更服務 4 的值。將服務 4 的值變更為等於或大於服務 3 的值。如需詳細資訊,請參閱下列範例。

  6. 取得規定人數權杖,且應該指定服務 4 做為您可將字符用於其中的服務。

  7. 取得其他 CO 的核准 (簽章)

  8. 在 HSM 上核准字符

  9. 使用 setMValue 命令來變更服務 3 (由 CO 執行的使用者管理操作) 的規定人數最小值。

範例 – 取得規定人數最小值並變更服務 4 的值

以下範例命令顯示服務 3 的規定人數最小值目前是 2。

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

以下範例命令顯示服務 4 的規定人數最小值目前是 1。

aws-cloudhsm>getMValue 4
MValue of service 4[MISC_CO] on server 0 : [1]
MValue of service 4[MISC_CO] on server 1 : [1]

若要變更服務 4 的規定人數最小值,請使用 setMValue 命令,並設定等於或大於服務 3 之值的值。以下範例將服務 4 的規定人數最小值設為 2,與為服務 3 設定的值相同。

aws-cloudhsm>setMValue 4 2
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
Setting M Value(2) for 4 on 2 nodes

以下命令顯示服務 3 和服務 4 的規定人數最小值現在是 2。

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
aws-cloudhsm>getMValue 4
MValue of service 4[MISC_CO] on server 0 : [2]
MValue of service 4[MISC_CO] on server 1 : [2]