CloudHSM CLI를 사용하여 사용자의 MFA 설정 변경 - AWS CloudHSM

CloudHSM CLI를 사용하여 사용자의 MFA 설정 변경

CloudHSM CLI에서 user change-mfa token-sign 명령을 사용하여 사용자 계정의 다중 인증(MFA) 설정을 업데이트합니다. 모든 사용자 계정에서 이 명령을 실행할 수 있습니다. 관리자 역할이 있는 계정은 다른 사용자를 위해 이 명령을 실행할 수 있습니다.

사용자 유형

다음 사용자가 이 명령을 실행할 수 있습니다.

  • 관리자

  • Crypto 사용자

구문

현재 사용자가 사용할 수 있는 멀티팩터 전략은 토큰 사인이라는 단 하나뿐입니다.

aws-cloudhsm > help user change-mfa Change a user's Mfa Strategy Usage: user change-mfa <COMMAND> Commands: token-sign Register or Deregister a public key using token-sign mfa strategy help Print this message or the help of the given subcommand(s)

토큰 사인 전략에서는 사인되지 않은 토큰을 기록할 토큰 파일을 요청합니다.

aws-cloudhsm > help user change-mfa token-sign Register or Deregister a public key using token-sign mfa strategy Usage: user change-mfa token-sign [OPTIONS] --username <USERNAME> --role <ROLE> <--token <TOKEN>|--deregister> Options: --cluster-id <CLUSTER_ID> Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --username <USERNAME> Username of the user that will be modified --role <ROLE> Role the user has in the cluster Possible values: - crypto-user: A CryptoUser has the ability to manage and use keys - admin: An Admin has the ability to manage user accounts --change-password <CHANGE_PASSWORD> Optional: Plaintext user's password. If you do not include this argument you will be prompted for it --token <TOKEN> Filepath where the unsigned token file will be written. Required for enabling MFA for a user --approval <APPROVAL> Filepath of signed quorum token file to approve operation --deregister Deregister the MFA public key, if present --change-quorum Change the Quorum public key along with the MFA key -h, --help Print help (see a summary with '-h')

이 명령은 클러스터의 HSM당 서명되지 않은 토큰 하나를 token으로 지정된 파일에 기록합니다. 메시지가 나타나면 파일에 있는 토큰에 사인됩니다.

예 : 클러스터의 HSM당 사인서명되지 않은 토큰 하나를 작성합니다.
aws-cloudhsm > user change-mfa token-sign --username cu1 --change-password password --role crypto-user --token /path/myfile Enter signed token file path (press enter if same as the unsigned token file): Enter public key PEM file path:/path/mypemfile { "error_code": 0, "data": { "username": "test_user", "role": "admin" } }

인수

<CLUSTER_ID>

이 작업을 실행할 클러스터의 ID입니다.

필수: 여러 클러스터가 구성된 경우.

<ROLE>

사용자 계정에 부여된 역할을 지정합니다. 이 파라미터는 필수 사항입니다. HSM에서의 사용자 유형에 대한 자세한 내용은 HSM 사용자 이해를 참조하십시오.

유효값

  • 관리자: 관리자는 사용자를 관리할 수 있지만 키는 관리할 수 없습니다.

  • Crypto user: crypto user는 키를 관리하고 암호화 작업에서 키를 사용할 수 있습니다.

<USERNAME>

사용자의 친숙한 이름을 지정합니다. 최대 길이는 31자입니다. 허용되는 유일한 특수 문자는 밑줄( _ )입니다.

사용자를 생성한 후에는 사용자 이름을 변경할 수 없습니다. CloudHSM CLI 명령에서 역할과 암호는 대소문자를 구분하지만 사용자 이름은 그렇지 않습니다.

필수 항목 여부: 예

<CHANGE_PASSWORD>

MFA가 등록 취소하려는 사용자의 일반 텍스트 새 암호를 지정합니다.

필수 항목 여부: 예

<TOKEN>

사인되지 않은 토큰 파일이 기록될 파일 경로입니다.

필수 항목 여부: 예

<APPROVAL>

작업을 승인할 서명된 쿼럼 토큰 파일의 파일 경로를 지정합니다. 쿼럼 사용자 서비스 쿼럼 값이 1보다 큰 경우에만 필요합니다.

<DEREGISTER>

MFA 퍼블릭 키(있는 경우)의 등록을 취소합니다.

<CHANGE-QUORUM>

쿼럼 퍼블릭 키를 MFA 키와 함께 변경합니다.

관련 주제