本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
MFA 為 Cloud 設定HSM CLI
請依照下列步驟,為 CloudHSM 設定多重要素驗證 (MFA)CLI。
若要MFA使用權杖簽署策略進行設定,您必須先產生 2048 位元RSA私有金鑰和相關聯的公有金鑰。
$openssl genrsa -out officer1.key 2048Generating RSA private key, 2048 bit long modulus (2 primes) ...........................................................+++++ ....................................................................+++++ e is 65537 (0x010001)$openssl rsa -in officer1.key -outform PEM -pubout -out officer1.pubwriting RSA key-
使用 CloudHSM CLI登入您的使用者帳戶。
$cloudhsm-cli interactiveaws-cloudhsm >login --usernameEnter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } }admin--roleadmin--cluster-id<cluster ID> -
接下來,執行 命令來變更您的MFA策略。您必須提供參數
--token。此參數指定將寫入未簽署權杖的檔案。aws-cloudhsm >user change-mfa token-sign --token unsigned-tokens.json --usernameEnter password: Confirm password:<USERNAME>--role crypto-user --change-quorum -
您現在有一個包含需要簽署但還未簽署權杖的檔案:
unsigned-tokens.json。此檔案中的權杖數目取決於叢集HSMs中的 數目。每個權杖代表一個 HSM。此檔案JSON已格式化,包含需要簽署的字符,以證明您有私有金鑰。$cat unsigned-tokens.json{ "version": "2.0", "tokens": [ { { "unsigned": "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=", "signed": "" }, { "unsigned": "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=", "signed": "" }, { "unsigned": "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=", "signed": "" } ] } -
接下來,使用步驟 1 中建立的私有金錀來簽署這些權杖。將簽署的權杖放回檔案中。首先,您必須擷取和解碼 base64 編碼的權杖。
$echo "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=" > token1.b64$echo "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=" > token2.b64$echo "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=" > token3.b64$base64 -d token1.b64 > token1.bin$base64 -d token2.b64 > token2.bin$base64 -d token3.b64 > token3.bin 現在,您有二進位權杖,您可以使用步驟 1 中建立的RSA私有金鑰簽署。
$openssl pkeyutl -sign \ -inkey officer1.key \ -pkeyopt digest:sha256 \ -keyform PEM \ -in token1.bin \ -out token1.sig.bin$openssl pkeyutl -sign \ -inkey officer1.key \ -pkeyopt digest:sha256 \ -keyform PEM \ -in token2.bin \ -out token2.sig.bin$openssl pkeyutl -sign \ -inkey officer1.key \ -pkeyopt digest:sha256 \ -keyform PEM \ -in token3.bin \ -out token3.sig.bin現在,您有了已簽署的二進位權杖。您必須使用 base64 對這些權杖進行編碼,然後將它們放回權杖檔案中。
$base64 -w0 token1.sig.bin > token1.sig.b64$base64 -w0 token2.sig.bin > token2.sig.b64$base64 -w0 token3.sig.bin > token3.sig.b64-
最後,您可以將 base64 值複製並粘貼回權杖檔案中:
{ "version": "2.0", "tokens": [ { "unsigned": "1jqwxb9bJOUUQLiNb7mxXS1uBJsEXh0B9nj05BqnPsE=", "signed": "eiw3fZeCKIY50C4zPeg9Rt90M1Qlq3WlJh6Yw7xXm4nF6e9ETLE39+9M+rUqDWMRZjaBfaMbg5d9yDkz5p13U7ch2tlF9LoYabsWutkT014KRq/rcYMvFsU9n/Ey/TK0PVaxLN42X+pebV4juwMhN4mK4CzdFAJgM+UGBOj4yB9recpOBB9K8QFSpJZALSEdDgUc/mS1eDq3rU0int6+4NKuLQjpR+LSEIWRZ6g6+MND2vXGskxHjadCQ09L7Tz8VcWjKDbxJcBiGKvkqyozl9zrGo8fA3WHBmwiAgS61Merx77ZGY4PFR37+j/YMSC14prCN15DtMRv2xA1SGSb4w==" }, { "unsigned": "LMMFc34ASPnvNPFzBbMbr9FProS/Zu2P8zF/xzk5hVQ=", "signed": "HBImKnHmw+6R2TpFEpfiAg4+hu2pFNwn43ClhKPkn2higbEhUD0JVi+4MerSyvU/NN79iWVxDvJ9Ito+jpiRQjTfTGEoIteyuAr1v/Bzh+HjmrO53OQpZaJ/VXGIgApD0myuu/ZGNKQTCSkkL7+V81FG7yR1Nm22jUeGa735zvm/E+cenvZdy0VVx6A7WeWrl3JEKKBweHbi+7BwbaW+PTdCuIRd4Ug76Sy+cFhsvcG1k7cMwDh8MgXzIZ2m1f/hdy2j8qAxORTLlmwyUOYvPYOvUhc+s83hx36QpGwGcD7RA0bPT5OrTx7PHd0N1CL+Wwy91We8yIOFBS6nxo1R7w==" }, { "unsigned": "dzeHbwhiVXQqcUGj563z51/7sLUdxjL93SbOUyZRjH8=", "signed": "VgQPvrTsvGljVBFxHnswduq16x8ZrnxfcYVYGf/N7gEzI4At3GDs2EVZWTRdvS0uGHdkFYp1apHgJZ7PDVmGcTkIXVD2lFYppcgNlSzkYlftr5EOjqS9ZjYEqgGuB4g//MxaBaRbJai/6BlcE92NIdBusTtreIm3yTpjIXNAVoeRSnkfuw7wZcL96QoklNb1WUuSHw+psUyeIVtIwFMHEfFoRC0t+VhmnlnFnkjGPb9W3Aprw2dRRvFM3R2ZTDvMCiOYDzUCd43GftGq2LfxH3qSD51oFHglHQVOY0jyVzzlAvub5HQdtOQdErIeO0/9dGx5yot07o3xaGl5yQRhwA==" } ] } 現在,您的權杖文件已全部簽署,您可以繼續操作。輸入包含已簽署權杖的檔案名稱,然後按 Enter 鍵。最後,輸入您公有金錀的路徑。
Enter signed token file path (press enter if same as the unsigned token file): Enter public key PEM file path:officer1.pub { "error_code": 0, "data": { "username": "<USERNAME>", "role": "crypto-user" } }現在您已使用 設定使用者MFA。
{ "username": "<USERNAME>", "role": "crypto-user", "locked": "false", "mfa": [ { "strategy": "token-sign", "status": "enabled" } ], "cluster-coverage": "full" },
