AWS CloudHSM 管理ユーティリティを使用して HSM ユーザーの 2FA を管理する - AWS CloudHSM

AWS CloudHSM 管理ユーティリティを使用して HSM ユーザーの 2FA を管理する

AWS CloudHSM 管理ユーティリティ (CMU) で changePswd を使用して、ユーザーの 2 要素認証 (2FA) を変更します。2FA を有効化にするたびに、2FA ログイン用のパブリックキーを指定する必要があります。

changePswd は、次のいずれかのシナリオを実行します。

  • 2FA ユーザーのパスワード変更

  • 非 2FA ユーザーのパスワード変更

  • 非 2FA ユーザーに 2FA の追加

  • 2FA ユーザーから 2FA の削除

  • 2FA ユーザーのキーのローテーション化

また、タスクを組み合わせることもできます。たとえば、ユーザーから 2FA を削除すると同時にパスワードの変更や、2FA キーをローテーション化してユーザーパスワードの変更を行うことができます。

2FA が有効な CO ユーザーのパスワードの変更、またはキーのローテーション化

  1. CMU を使用し、2FA が有効な CO として HSM にログインします。

  2. changePswd を使用して、2FA が有効な CO ユーザーからパスワードを変更するか、キーをローテーション化します。-2fa パラメータを使用して、システムが authdata ファイルに書き込むファイルシステム内の位置を含みます。このファイルには、クラスター内の各 HSM のダイジェストが含まれています。

    aws-cloudhsm>changePswd CO example-user <new-password> -2fa /path/to/authdata

    CMU は、プライベートキーを使用して、authdata ファイル内のダイジェストに署名を要求するプロンプトが表示され、署名はパブリックキー付きで返却されます。

  3. プライベートキーを使用して、authdata ファイル内のダイジェストに署名し、署名とパブリックキーを JSON 形式の authdata ファイルに追加後、CMU に authdata ファイルの位置を追加します。詳細情報は、AWS CloudHSM 管理ユーティリティを使用した 2FA の設定リファレンス を参照してください。

    注記

    クラスターは、クォーラム認証と 2FA に同じキーを使用します。クォーラム認証を使用している場合、またはクォーラム認証を使用する予定の場合は、AWS CloudHSM 管理ユーティリティを使用した AWS CloudHSM クラスター内のクォーラム認証と 2FA を参照してください。