AWS CloudHSM 관리 유틸리티를 사용하는 HSM 사용자용 2FA 관리 - AWS CloudHSM

AWS CloudHSM 관리 유틸리티를 사용하는 HSM 사용자용 2FA 관리

AWS CloudHSM 관리 유틸리티(CMU)에서 changePswd를 사용하여 사용자의 2단계 인증(2FA)을 수정합니다. 2FA를 활성화할 때마다 2FA 로그인을 위한 퍼블릭 키를 제공해야 합니다.

changePswd은 다음 시나리오 중 하나를 수행합니다.

  • 2FA 사용자의 암호 변경

  • 2FA가 아닌 사용자의 암호 변경

  • 2FA가 아닌 사용자에게 2FA 추가

  • 2FA 사용자의 2FA 삭제

  • 2FA 사용자의 키 교체

작업을 결합할 수도 있습니다. 예를 들어, 사용자로부터 2FA를 제거하고 동시에 암호를 변경하거나 2FA 키를 교체하여 사용자 암호를 변경할 수도 있습니다.

2FA가 활성화된 CO 사용자의 암호를 변경하거나 키를 교체하려면

  1. CMU를 사용하여 2FA가 활성화된 상태에서 CO로 HSM에 로그인합니다.

  2. changePswd을 사용하여 2FA가 활성화된 CO 사용자의 암호를 변경하거나 키를 교체합니다. -2fa 파라미터를 사용하고 시스템이 authdata 파일을 쓸 수 있는 위치를 파일 시스템에 포함시킵니다. 이 파일에는 클러스터의 각 HSM에 대한 다이제스트가 포함됩니다.

    aws-cloudhsm>changePswd CO example-user <new-password> -2fa /path/to/authdata

    CMU는 프라이빗 키를 사용하여 authdata 파일의 다이제스트에 서명하고 퍼블릭 키와 함께 서명을 반환하라는 메시지를 표시합니다.

  3. 프라이빗 키를 사용하여 authdata 파일의 다이제스트에 서명하고 서명과 퍼블릭 키를 JSON 형식의 authdata 파일에 추가한 다음 CMU에 authdata 파일 위치를 제공하십시오. 자세한 내용은 AWS CloudHSM 관리 유틸리티를 사용하는 2FA 구성 참조 섹션을 참조하세요.

    참고

    클러스터는 쿼럼 인증 및 2FA에 동일한 키를 사용합니다. 쿼럼 인증을 사용하거나 쿼럼 인증을 사용할 계획인 경우 AWS CloudHSM 관리 유틸리티를 사용하는 AWS CloudHSM 클러스터의 Quorum 인증 및 2FA 섹션을 참조하십시오.