Cambio de la contraseña de un usuario mediante CMU
Use el comando changePswd en la cloudhsm_mgmt_util (CMU) de AWS CloudHSM para cambiar la contraseña de un usuario existente en los módulos de seguridad de hardware (HSM) en el clúster de AWS CloudHSM.
Cualquier usuario puede cambiar su propia contraseña. Además, los responsables de criptografía (CO y PCO) pueden cambiar la contraseña de otro CO o usuario de criptografía (CU). No es necesario que escriba la contraseña actual para realizar el cambio.
nota
No puede cambiar la contraseña de un usuario que haya iniciado sesión en el cliente AWS CloudHSM o en key_mgmt_util.
Para poder ejecutar cualquier comando de CMU, debe iniciar la CMU e iniciar sesión en el HSM. Asegúrese de que inicia sesión con un tipo de usuario que pueda ejecutar los comandos que planea utilizar.
Si agrega o elimina uno o varios HSM, actualice los archivos de configuración de la CMU. De lo contrario, es posible que los cambios que realice no se hagan efectivos para todos los HSM del clúster.
Tipo de usuario
Los usuarios siguientes pueden ejecutar este comando.
-
Responsables de criptografía (CO)
-
Usuarios de criptografía (CU)
Sintaxis
Introduzca los argumentos en el orden especificado en el diagrama de sintaxis. Utilice el parámetro -hpswd
para ocultar la contraseña. Para habilitar la autenticación de dos factores (2FA) para un usuario tipo CO, utilice el parámetro -2fa
e incluya una ruta de archivo. Para obtener más información, consulte Argumentos.
changePswd <
user-type
> <user-name
> <password
|-hpswd> [-2fa </path/to/authdata
>]
Ejemplos
Los siguientes ejemplos muestran cómo utilizar changePassword para restablecer la contraseña del usuario actual o de cualquier otro usuario de los HSM.
ejemplo : cambio de la contraseña
Cualquier usuario de los HSM puede utilizar changePswd para cambiar su propia contraseña. Antes de cambiar la contraseña, utilice info para obtener información sobre cada uno de los HSM del clúster, incluidos el nombre de usuario y el tipo de usuario del usuario que ha iniciado sesión.
La siguiente salida muestra que Bob ha iniciado sesión como usuario de criptografía (CU).
aws-cloudhsm>
info server 0
Id Name Hostname Port State Partition LoginState 0 10.1.9.193 10.1.9.193 2225 Connected hsm-jqici4covtv Logged in as 'bob(CU)'
aws-cloudhsm>
info server 1
Id Name Hostname Port State Partition LoginState 1 10.1.10.7 10.1.10.7 2225 Connected hsm-ogi3sywxbqx Logged in as 'bob(CU)'
Para cambiar la contraseña, Bob ejecuta changePswd y, a continuación, introduce el tipo de usuario, el nombre de usuario y una contraseña nueva.
aws-cloudhsm>
changePswd CU bob newPassword
*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
y
Changing password for bob(CU) on 2 nodes
ejemplo : cambio de la contraseña de otro usuario
Debe ser un usuario de tipo CO o PCO para cambiar la contraseña de otro CO, o CU en los HSM. Antes de cambiar la contraseña de otro usuario, utilice el comando info para confirmar que su tipo de usuario es CO o PCO.
La siguiente salida confirma que Alice, que es usuaria de tipo CO, tiene una sesión iniciada.
aws-cloudhsm>
info server 0
Id Name Hostname Port State Partition LoginState 0 10.1.9.193 10.1.9.193 2225 Connected hsm-jqici4covtv Logged in as 'alice(CO)'
aws-cloudhsm>
info server 1
Id Name Hostname Port State Partition LoginState 0 10.1.10.7 10.1.10.7 2225 Connected hsm-ogi3sywxbqx Logged in as 'alice(CO)'
Alice quiere restablecer la contraseña de otro usuario, John. Antes de cambiar la contraseña, utiliza el comando listUsers para comprobar el tipo de usuario de John.
La siguiente salida muestra que John es un usuario de tipo CO.
aws-cloudhsm>
listUsers Users on server 0(10.1.9.193): Number of users found:5 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin YES 0 NO 2 AU jane NO 0 NO 3 CU bob NO 0 NO 4 CU alice NO 0 NO 5 CO john NO 0 NO Users on server 1(10.1.10.7): Number of users found:5 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin YES 0 NO 2 AU jane NO 0 NO 3 CU bob NO 0 NO 4 CO alice NO 0 NO 5 CO john NO 0 NO
Para cambiar la contraseña, Alice ejecuta changePswd y, a continuación, introduce el tipo de usuario, el nombre de usuario y la contraseña nueva de John.
aws-cloudhsm>
changePswd CO john newPassword
*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?
y
Changing password for john(CO) on 2 nodes
Argumentos
Introduzca los argumentos en el orden especificado en el diagrama de sintaxis. Utilice el parámetro -hpswd
para ocultar la contraseña. Para habilitar la 2FA para un usuario de tipo CO, utilice el parámetro -2fa
e incluya una ruta de archivo. Para obtener más información acerca de cómo trabajar con la 2FA, consulte Administrar 2FA de usuarios
changePswd <
user-type
> <user-name
> <password
|-hpswd> [-2fa </path/to/authdata
>]
- <user-type>
-
Especifica el tipo actual de usuario cuya contraseña está cambiando. No se puede utilizar changePswd para cambiar el tipo de usuario.
Los valores válidos son
CO
,CU
,PCO
yPRECO
.Para obtener el tipo de usuario, utilice listUsers. Para obtener información detallada sobre los tipos de usuario en un HSM, consulte Tipos de usuarios del HSM en la utilidad de administración de AWS CloudHSM.
Obligatorio: sí
- <user-name>
-
Especifica el nombre fácil de recordar del usuario. Este parámetro no distingue entre mayúsculas y minúsculas. No puede utilizar changePswd para cambiar el nombre del usuario.
Obligatorio: sí
- <password | -hpswd >
-
Especifica una contraseña nueva para el usuario. Escriba una cadena de entre 7 y 32 caracteres. Este valor distingue entre mayúsculas y minúsculas. La contraseña aparece en texto no cifrado cuando se escribe. Para ocultar la contraseña, utilice el parámetro
-hpswd
en lugar de la contraseña y siga las indicaciones.Obligatorio: sí
- [-2fa </path/to/authdata>]
-
Especifica la activación de la 2FA para este usuario de tipo CO. Para obtener los datos necesarios para configurar la 2FA, incluya una ruta a una ubicación del sistema de archivos con un nombre de archivo después del parámetro
-2fa
. Para obtener más información acerca de cómo trabajar con la 2FA, consulte Administrar 2FA de usuarios.Requerido: no