AWS CloudHSM 管理ユーティリティを使用して HSM にログインおよびログアウトする - AWS CloudHSM
ユーザーのタイプ構文引数関連トピック

AWS CloudHSM 管理ユーティリティを使用して HSM にログインおよびログアウトする

クラスターの各 HSM でログインおよびログアウトを行うには、AWS CloudHSM Cloudhsm_mgmt_util の loginHSMlogoutHSM のコマンドを使用します。タイプに関係なく、すべてのユーザーがこのコマンドを使用できます。

注記

ログイン試行回数が 5 回を超えると、アカウントがロックアウトされます。アカウントのロックを解除するには、暗号化オフィサー (CO) が cloudhsm_mgmt_util で changePswd コマンドを使用してパスワードをリセットする必要があります。

これらの cloudhsm_mgmt_util コマンドを実行する前に、cloudhsm_mgmt_util を起動する必要があります。

HSM を追加または削除した場合は、AWS CloudHSM クライアント、および、コマンドラインツールが使用する設定ファイルを更新してください。そうしないと、クラスタ内のすべての HSM で変更が有効にならない場合があります。

クラスター内に複数の HSM がある場合は、アカウントがロックアウトされるまでのログイン試行回数の上限が増える可能性があります。これは、CloudHSM クライアントがさまざまな HSM 間で負荷を分散するためです。したがって、ログイン試行は毎回同じ HSM で開始されない場合があります。この機能をテストしている場合は、アクティブな HSM が1つだけのクラスターでテストすることをお勧めします。

2018 年 2 月より前にクラスターを作成した場合、ロックアウトされるまでのログイン試行回数は 20 回です。

ユーザーのタイプ

これらのコマンドは、次のユーザーが実行できます。

  • Precrypto Officer (PRECO)

  • Crypto Officer (CO)

  • Crypto User (CU)

構文

引数は構文の図表で指定された順序で入力します。-hpswd パラメータを使用して、パスワードをマスクします。2 要素認証 (2FA) でログインするには、-2fa パラメータを入力し、ファイルパスを含めます。詳細については、「引数」を参照してください。

loginHSM <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]
logoutHSM

これらの例では、loginHSM および logoutHSM を使用して、クラスターのすべての HSM のログインおよびログアウトを行う方法を示します。

例 : クラスター内の HSM にログインする

このコマンドでは、CO ユーザー admin とパスワード co12345 の認証情報を使用して、クラスターのすべての HSM にログインします。出力には、コマンドが成功し、HSM(この場合は server 0server 1) に接続したことが示されています。

aws-cloudhsm>loginHSM CO admin co12345

loginHSM success on server 0(10.0.2.9)
loginHSM success on server 1(10.0.3.11)
例 : 隠しパスワードでログインします

このコマンドは上記の例と同じですが、今回はシステムがパスワードを隠すように指定することを除きます。

aws-cloudhsm>loginHSM CO admin -hpswd

システムからパスワードの入力を求められます。パスワードを入力すると、システムはパスワードを非表示にし、コマンドが正常に実行されたことと HSM に接続したことが出力 (と) で示されます。

Enter password:

loginHSM success on server 0(10.0.2.9)
loginHSM success on server 1(10.0.3.11)

aws-cloudhsm>
例 : HSM からログアウトする

このコマンドは、現在ログインしている HSM (この場合は server 0server 1) からログアウトします。出力は、コマンドが成功し、HSM から切断されたことを示します。

aws-cloudhsm>logoutHSM

logoutHSM success on server 0(10.0.2.9)
logoutHSM success on server 1(10.0.3.11)

引数

引数は構文の図表で指定された順序で入力します。-hpswd パラメータを使用して、パスワードをマスクします。2 要素認証 (2FA) でログインするには、-2fa パラメータを入力し、ファイルパスを含めます。2FA での作業の詳細については、「ユーザー 2FA の管理」を参照してください。

loginHSM <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]
<user type>

HSM にログインしているユーザーのタイプを指定します。詳細については、上記の「ユーザータイプ」を参照してください。

必須: はい

<user name>

HSM にログインしているユーザーのユーザー名を指定します。

必須: はい

<password |-hpswd >

HSM にログインしているユーザーのパスワードを指定します。パスワードを非表示にするには、-hpswd パラメータをパスワードの代わりに入力し、プロンプトに従います。

必須: はい

[-2fa </path/to/authdata>]

この 2FA 対応の CO ユーザーを認証するために、システムが第 2 要素を使用するように指定します。2FA でログインするために必要なデータを取得するには、-2fa パラメータの後にファイル名を指定して、ファイルシステム内の場所へのパスを含めます。2FA の操作の詳細については、「ユーザー 2FA の管理」を参照してください。

必須:いいえ

関連トピック