10 法定成员操作

本章介绍已经分配法定成员角色的用户可以执行的操作。如果您已经分配有其他角色,有关执行特定角色的说明,请参阅相应章节。

法定成员角色

法定成员角色查看和批准暂挂法定操作。

周围文本对 quorum_member_role.jpg 进行了说明。

已经分配有安全操作员角色的用户必须首先登录 OKM Manager GUI,创建一个或多个用户并为其分配法定成员角色(请参见"创建用户")。

创建具有法定成员角色的用户时,安全官必须在 "Key Split Quorum Authentication" 对话框中提供足够法定数目的密钥拆分凭证,因为尚未创建所有法定成员用户。

"Pending Quorum Operation List" 菜单

"Pending Quorum Operation List" 菜单显示以下暂挂操作:这些操作要求在系统执行它们之前审批法定数目的密钥拆分凭证。具有具有法定成员或安全官角色时会显示此菜单。

"Pending Quorum Operation List" 菜单包括以下选项:

  • 查看 "Pending Operation List" 详细信息

  • 批准暂挂操作

  • 删除暂挂操作。

周围文本对 pending_operation_list.jpg 进行了说明。

您可以按以下任一项过滤暂挂操作列表:

  • Pending Operation ID

  • KMA Name

  • Operation Type

  • Submitted Date

  • Last Updated。

Use 按钮可以将过滤器应用于显示的暂挂操作列表。

字段及其描述如下所示:

Filter:

显示可用于过滤对 KMA 所执行查询的结果的字段。可能的值是:

  • Pending Operation ID

  • KMA Name

  • Operation Type

  • Submitted Date

  • Last Updated

"Filter Operator" 框:

单击向下箭头并选择需要的过滤操作。可能的值是:

  • Equals =

  • Not equal <>

  • Greater than >

  • Less than <

  • Greater than or equals >=

  • Less than or equals <=

  • Starts with ~

  • Empty

  • Not empty

"Filter Value" 文本框:

键入过滤选定属性所依据的值。不对所有过滤器属性显示此过滤器选项。

"Filter Value" 组合框:

单击向下箭头并选择过滤选定属性所依据的值。不对所有过滤器属性显示此过滤器选项。

单击加号按钮可以添加其他过滤器。

单击减号按钮可以删除过滤器。仅当显示多个过滤器时才显示此按钮。

Use:

单击此按钮可以将选定过滤器应用于显示的列表并转至第一页。

Refresh:

单击此按钮可以刷新列表。

Reset:

单击此按钮可以删除所有过滤器并将显示的列表重置到第一页。

单击此按钮可以转至列表的第一页。

周围文本对 okm_first_page.jpg 进行了说明。

单击此按钮可以转至上一页。

周围文本对 okm_prev_page.jpg 进行了说明。

单击此按钮可以转至下一页。

周围文本对 okm_next_page.jpg 进行了说明。

Results in Page:

显示在 "Options" 对话框的 "Query Page Size" 字段中配置的每页记录数。

Pending Operation ID:

唯一地标识暂挂法定操作。

KMA Name:

从中提交此操作的 KMA 的名称。

Operation Type:

法定操作的类型。

Submitted Date:

提交暂挂法定操作的日期。

Last Updated:

上次对此操作更新法定信息的日期。只要其他法定成员提供密钥拆分用户名来批准特定暂挂法定操作,就会更新该操作的法定信息。如果在暂挂操作凭证生命周期内没有足够的密钥拆分用户批准暂挂法定操作,则该操作过期。此日期最初设置为与提交暂挂法定操作的提交日期相同。

Credentials:

已经批准了此暂挂法定操作的密钥拆分用户名列表。

Details:

单击此按钮可以查看关于暂挂法定操作的详细信息。

Approve Pending Operation:

单击此按钮可以批准暂挂法定操作。您必须是法定成员角色才能执行此操作。

Delete:

单击此按钮可以删除选择的暂挂法定操作。您必须是安全官角色才能执行此操作。

查看暂挂操作详细信息

要查看暂挂操作详细信息:

在 "Pending Operation List" 屏幕中,单击 Details 按钮。此时将显示 "Pending Quorum Operation" 对话框。

周围文本对 pending_op_list_details.jpg 进行了说明。

"Key Split User Names" 字段列出已经批准了此操作的密钥拆分用户(如果有)。

要获取有关此特定暂挂法定操作的更多信息,可以过滤 "Audit Event List" 面板中显示的审计事件(请参见"查看审计日志")。

  1. 导航到 "Audit Event List" 面板。

  2. 定义过滤器,并将操作过滤器设置为 "Add Pending Quorum Operation"。如果您有多个暂挂法定操作,可能需要使用 "Created Date" 定义另一过滤器,该 "Created Date" 指定此特定暂挂法定操作的 "Submitted Date" 左右的时间段。

  3. 单击 Use 按钮可以显示与此过滤器匹配的那些审计事件。过滤的审计事件的 "Message Values" 字段应该包含有关该暂挂法定操作的更多信息。

批准暂挂法定操作

要批准暂挂操作,您必须以法定成员角色登录 OKM Manager GUI;否则,将禁用 Approve 按钮。

具有法定成员角色的其他用户也可以单独登录并批准暂挂法定操作。足够法定数目的密钥拆分凭证批准暂挂法定操作时,OKM 群集将执行该操作。

要批准暂挂法定操作:

  1. 在 "Pending Operation List" 屏幕中,单击 Approve Pending Operation 按钮。

  2. 此时将显示 "Key Split Quorum Authentication" 对话框。

    周围文本对 key_split_quorum_auth.jpg 进行了说明。

    如果您在 "Key Split Quorum Authentication" 对话框中提供足够法定数目的密钥拆分凭证,则在您提供法定后(而不是您单击 Save 按钮时)将更新 OKM 群集中的信息。

    如果您没有在 "Key Split Quorum Authentication" 对话框中提供足够法定数目,根据复制版本不同会产生两个不同的结果:

    复制版本:
    		 结果:
    10 或更低 操作失败,不更新 OKM 群集中的任何信息。
    11 或更高 操作变为暂挂。即,系统将该操作添加到暂挂法定操作列表(请参见""Pending Quorum Operation List" 菜单")。操作添加到此列表时会弹出一条消息。

    不更新 OKM 群集中的任何信息,直到具有法定成员角色的用户(法定成员用户)登录并提供足够法定数目。

  3. 输入法定用户名和口令短语来验证操作。

    如果没有立即提供足够法定数目的密钥拆分凭证,系统将操作添加到暂挂法定操作并生成以下对话框。

    周围文本对 adduserrolepending.jpg 进行了说明。

单击 OK 时,您会在 "Pending Quorum Operation List" 屏幕中看到此操作(请参阅""Pending Quorum Operation List" 菜单"中显示的样例屏幕)。

删除暂挂法定操作

要删除暂挂操作,您必须以安全官角色登录 OKM Manager GUI;否则,将禁用 Delete 按钮。

要删除暂挂操作:

  1. 在 "Pending Operation List" 屏幕中,突出显示要删除的暂挂操作并单击 Delete 按钮。

    此时将显示以下对话框,提示您确认要删除选择的暂挂操作。

    周围文本对 aysdel_pndng_quo_op.jpg 进行了说明。

  2. 单击 Yes 按钮删除该暂挂操作。将删除当前选择的暂挂操作,您将返回到 "Pending Operation List" 屏幕。系统还删除与该暂挂操作关联的任何条目。

其他功能

以下操作需要法定数目的密钥拆分凭证: