CloudHSM CLI で MFA が有効になっているユーザーにログインする - AWS CloudHSM

CloudHSM CLI で MFA が有効になっているユーザーにログインする

多要素認証 (MFA) が有効になっている AWS CloudHSM ユーザーにログインするには、次の手順に従います。

  1. CloudHSM CLI の login mfa-token-sign コマンドを使用して、MFA が有効になっているユーザーのログインプロセスを MFA で開始します。

    aws-cloudhsm > login --username <USERNAME> --role <ROLE> mfa-token-sign --token unsigned-tokens.json Enter password:
  2. パスワードを入力します。次に、署名されていないトークンと署名されたトークンのペアを含むトークンファイルへのパスを入力するよう求められます。ここで、署名付きトークンは、プライベートキーを使用して生成されたものです。

    aws-cloudhsm > login --username <USERNAME> --role <ROLE> mfa-token-sign --token unsigned-tokens.json Enter password: Enter signed token file path (press enter if same as the unsigned token file):
  3. 署名済みトークンのファイルパスを入力するように求められますが、別の端末で署名されていないトークンファイルを調べることができます。署名が必要な未署名のトークンを含むファイルを特定します: unsigned-tokens.json。このファイル内のトークンの数は、クラスター内の HSM の数によって異なります。各トークンは 1 つの HSM を表します。このファイルは JSON 形式で、プライベートキーを持っていることを証明するための署名が必要なトークンが含まれています。

    $ cat unsigned-tokens.json { "version": "2.0", "tokens": [ { "unsigned": "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=", "signed": "" }, { "unsigned": "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=", "signed": "" }, { "unsigned": "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=", "signed": "" } ] }
  4. ステップ 2 で作成したプライベートキーを使用して、署名されていないトークンに署名します。まず、base64 でエンコードされたトークンを抽出してデコードする必要があります。

    $ echo "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=" > token1.b64 $ echo "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=" > token2.b64 $ echo "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=" > token3.b64 $ base64 -d token1.b64 > token1.bin $ base64 -d token2.b64 > token2.bin $ base64 -d token3.b64 > token3.bin
  5. これで、バイナリトークンが作成されました。MFA セットアップのステップ 1 で作成した RSA プライベートキーを使用して署名します。

    $ openssl pkeyutl -sign \ -inkey officer1.key \ -pkeyopt digest:sha256 \ -keyform PEM \ -in token1.bin \ -out token1.sig.bin $ openssl pkeyutl -sign \ -inkey officer1.key \ -pkeyopt digest:sha256 \ -keyform PEM \ -in token2.bin \ -out token2.sig.bin $ openssl pkeyutl -sign \ -inkey officer1.key \ -pkeyopt digest:sha256 \ -keyform PEM \ -in token3.bin \ -out token3.sig.bin
  6. これで、トークンのバイナリ署名ができました。base64 を使用してエンコードし、トークンファイルに戻します。

    $ base64 -w0 token1.sig.bin > token1.sig.b64 $ base64 -w0 token2.sig.bin > token2.sig.b64 $ base64 -w0 token3.sig.bin > token3.sig.b64
  7. 最後に、base64 値をコピーしてトークンファイルに貼り付けます。

    { "version": "2.0", "tokens": [ { "unsigned": "1jqwxb9bJOUUQLiNb7mxXS1uBJsEXh0B9nj05BqnPsE=", "signed": "eiw3fZeCKIY50C4zPeg9Rt90M1Qlq3WlJh6Yw7xXm4nF6e9ETLE39+9M+rUqDWMRZjaBfaMbg5d9yDkz5p13U7ch2tlF9LoYabsWutkT014KRq/rcYMvFsU9n/Ey/TK0PVaxLN42X+pebV4juwMhN4mK4CzdFAJgM+UGBOj4yB9recpOBB9K8QFSpJZALSEdDgUc/mS1eDq3rU0int6+4NKuLQjpR+LSEIWRZ6g6+MND2vXGskxHjadCQ09L7Tz8VcWjKDbxJcBiGKvkqyozl9zrGo8fA3WHBmwiAgS61Merx77ZGY4PFR37+j/YMSC14prCN15DtMRv2xA1SGSb4w==" }, { "unsigned": "LMMFc34ASPnvNPFzBbMbr9FProS/Zu2P8zF/xzk5hVQ=", "signed": "HBImKnHmw+6R2TpFEpfiAg4+hu2pFNwn43ClhKPkn2higbEhUD0JVi+4MerSyvU/NN79iWVxDvJ9Ito+jpiRQjTfTGEoIteyuAr1v/Bzh+HjmrO53OQpZaJ/VXGIgApD0myuu/ZGNKQTCSkkL7+V81FG7yR1Nm22jUeGa735zvm/E+cenvZdy0VVx6A7WeWrl3JEKKBweHbi+7BwbaW+PTdCuIRd4Ug76Sy+cFhsvcG1k7cMwDh8MgXzIZ2m1f/hdy2j8qAxORTLlmwyUOYvPYOvUhc+s83hx36QpGwGcD7RA0bPT5OrTx7PHd0N1CL+Wwy91We8yIOFBS6nxo1R7w==" }, { "unsigned": "dzeHbwhiVXQqcUGj563z51/7sLUdxjL93SbOUyZRjH8=", "signed": "VgQPvrTsvGljVBFxHnswduq16x8ZrnxfcYVYGf/N7gEzI4At3GDs2EVZWTRdvS0uGHdkFYp1apHgJZ7PDVmGcTkIXVD2lFYppcgNlSzkYlftr5EOjqS9ZjYEqgGuB4g//MxaBaRbJai/6BlcE92NIdBusTtreIm3yTpjIXNAVoeRSnkfuw7wZcL96QoklNb1WUuSHw+psUyeIVtIwFMHEfFoRC0t+VhmnlnFnkjGPb9W3Aprw2dRRvFM3R2ZTDvMCiOYDzUCd43GftGq2LfxH3qSD51oFHglHQVOY0jyVzzlAvub5HQdtOQdErIeO0/9dGx5yot07o3xaGl5yQRhwA==" } ] }
  8. トークンファイルに必要な署名がすべて揃ったので、次に進むことができます。署名されたトークンを含むファイルの名前を入力し、Enter キーを押します。これで、正常にログインできたはずです。

    aws-cloudhsm > login --username <USERNAME> --role <ROLE> mfa-token-sign --token unsigned-tokens.json Enter password: Enter signed token file path (press enter if same as the unsigned token file): { "error_code": 0, "data": { "username": "<USERNAME>", "role": "<ROLE>" } }