Modifier la MFA configuration d'un utilisateur avec Cloud HSM CLI - AWS CloudHSM
Type utilisateurSyntaxeExempleRubriques en relation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Modifier la MFA configuration d'un utilisateur avec Cloud HSM CLI

Utilisez la user change-mfa token-sign commande dans le Cloud HSM CLI pour mettre à jour la configuration de l'authentification multifactorielle (MFA) d'un compte utilisateur. N'importe quel compte utilisateur peut exécuter cette commande. Les comptes dotés du rôle d'administrateur peuvent exécuter cette commande pour d'autres utilisateurs.

Type utilisateur

Les utilisateurs suivants peuvent exécuter cette commande.

  • Administrateur

  • Utilisateur de chiffrement

Syntaxe

Actuellement, il n'existe qu'une seule stratégie multifactorielle disponible pour les utilisateurs : Token Sign.

aws-cloudhsm > help user change-mfa
Change a user's Mfa Strategy

Usage:
    user change-mfa <COMMAND>
  
Commands:
  token-sign  Register or Deregister a public key using token-sign mfa strategy
  help        Print this message or the help of the given subcommand(s)

La stratégie Token Sign demande un fichier de jetons dans lequel écrire des jetons non signés.

aws-cloudhsm > help user change-mfa token-sign
Register or Deregister a public key using token-sign mfa strategy

Usage: user change-mfa token-sign [OPTIONS] --username <USERNAME> --role <ROLE> <--token <TOKEN>|--deregister>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --username <USERNAME>
          Username of the user that will be modified

      --role <ROLE>
          Role the user has in the cluster

          Possible values:
          - crypto-user: A CryptoUser has the ability to manage and use keys
          - admin:       An Admin has the ability to manage user accounts

      --change-password <CHANGE_PASSWORD>
          Optional: Plaintext user's password. If you do not include this argument you will be prompted for it

      --token <TOKEN>
          Filepath where the unsigned token file will be written. Required for enabling MFA for a user

      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation

      --deregister
          Deregister the MFA public key, if present

      --change-quorum
          Change the Quorum public key along with the MFA key

  -h, --help
          Print help (see a summary with '-h')

Exemple

Cette commande écrira un jeton non signé par élément de votre cluster HSM dans le fichier spécifié partoken. Lorsque vous y êtes invité, signez les jetons du fichier.

Exemple : écrivez un jeton non signé par HSM dans votre cluster
aws-cloudhsm > user change-mfa token-sign --username cu1 --change-password password --role crypto-user --token /path/myfile
Enter signed token file path (press enter if same as the unsigned token file):
Enter public key PEM file path:/path/mypemfile
{
  "error_code": 0,
  "data": {
    "username": "test_user",
    "role": "admin"
  }
}

Arguments

<CLUSTER_ID>

ID du cluster sur lequel exécuter cette opération.

Obligatoire : si plusieurs clusters ont été configurés.

<ROLE>

Spécifie le rôle attribué au compte utilisateur. Ce paramètre est obligatoire. Pour des informations détaillées sur les types d'utilisateurs sur unHSM, voir Comprendre HSM les utilisateurs.

Valeurs valides

  • Administrateur : les administrateurs peuvent gérer les utilisateurs, mais ils ne peuvent pas gérer les clés.

  • CU : les utilisateurs de chiffrement peuvent créer et gérer des clés, et utiliser ces clés dans des opérations de chiffrement.

<USERNAME>

Spécifie un nom convivial pour l'utilisateur. La longueur maximale est de 31 caractères. Le seul caractère spécial autorisé est un trait de soulignement ( _ ).

Vous ne pouvez pas modifier le nom d'un utilisateur après l'avoir créé. Dans HSM CLI les commandes Cloud, le rôle et le mot de passe distinguent les majuscules des minuscules, mais pas le nom d'utilisateur.

Obligatoire : oui

<CHANGE_PASSWORD>

Spécifie le nouveau mot de passe en texte clair de l'utilisateur en cours d'MFAenregistrement/désenregistrement.

Obligatoire : oui

<TOKEN>

Chemin de fichier dans lequel le fichier de jeton non signé sera écrit.

Obligatoire : oui

<APPROVAL>

Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur du quorum du service utilisateur du quorum est supérieure à 1.

<DEREGISTER>

Désenregistre la clé MFA publique, si elle est présente.

<CHANGE-QUORUM>

Modifie la clé publique du quorum en même temps que la MFA clé.

Rubriques en relation