Alterar a configuração de MFA de um usuário com a CLI do CloudHSM
Use o comando user change-mfa token-sign na CLI do CloudHSM para atualizar a configuração de autenticação multifator (MFA) de uma conta de usuário. Qualquer conta de usuário pode executar esse comando. Contas com a função de administrador podem executar esse comando para outros usuários.
Tipo de usuário
Os usuários a seguir podem executar este comando.
-
Administrador
-
Usuário de criptografia
Sintaxe
Atualmente, há apenas uma única estratégia multifatorial disponível para os usuários: Token Sign.
aws-cloudhsm >
help user change-mfa
Change a user's Mfa Strategy Usage: user change-mfa <COMMAND> Commands: token-sign Register or Deregister a public key using token-sign mfa strategy help Print this message or the help of the given subcommand(s)
A estratégia Token Sign solicita um arquivo Token para gravar tokens não assinados.
aws-cloudhsm >
help user change-mfa token-sign
Register or Deregister a public key using token-sign mfa strategy Usage: user change-mfa token-sign [OPTIONS] --username
<USERNAME>
--role<ROLE>
<--token<TOKEN>
|--deregister> Options: --cluster-id<CLUSTER_ID>
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --username<USERNAME>
Username of the user that will be modified --role<ROLE>
Role the user has in the cluster Possible values: - crypto-user: A CryptoUser has the ability to manage and use keys - admin: An Admin has the ability to manage user accounts --change-password<CHANGE_PASSWORD>
Optional: Plaintext user's password. If you do not include this argument you will be prompted for it --token<TOKEN>
Filepath where the unsigned token file will be written. Required for enabling MFA for a user --approval<APPROVAL>
Filepath of signed quorum token file to approve operation --deregister Deregister the MFA public key, if present --change-quorum Change the Quorum public key along with the MFA key -h, --help Print help (see a summary with '-h')
Exemplo
Esse comando grava um token não assinado por HSM em seu cluster no arquivo especificado por token
. Quando for solicitado, assine os tokens no arquivo.
exemplo : grave um token não assinado por HSM em seu cluster
aws-cloudhsm >
user change-mfa token-sign --username cu1 --change-password password --role crypto-user --token /path/myfile
Enter signed token file path (press enter if same as the unsigned token file): Enter public key PEM file path:/path/mypemfile { "error_code": 0, "data": { "username": "test_user", "role": "admin" } }
Argumentos
<CLUSTER_ID>
-
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido configurados.
<ROLE>
-
Especifica a função atribuída à conta do usuário. Esse parâmetro é obrigatório. Para obter informações detalhadas sobre os tipos de usuários em um HSM, consulte Noções básicas dos usuários de HSM.
Valores válidos
Administrador: os administradores podem gerenciar usuários, mas não podem gerenciar chaves.
Usuário de criptografia: usuários de criptografia podem criar chaves de gerenciamento e usar chaves em operações criptográficas.
<USERNAME>
-
Especifica um nome amigável para o usuário. O tamanho máximo é de 31 caracteres. O único caractere especial permitido é um sublinhado ( _ ).
Não é possível alterar o nome de um usuário após sua criação. Em comandos da CLI do CloudHSM, a função e a senha diferenciam maiúsculas de minúsculas, mas o nome do usuário não diferencia.
Obrigatório: Sim
<CHANGE_PASSWORD>
-
Especifica a nova senha em texto simples do usuário cujo MFA está sendo registrado/cancelado.
Obrigatório: Sim
<TOKEN>
-
Caminho onde o arquivo de token não assinado será gravado.
Obrigatório: Sim
<APPROVAL>
-
Especifica o caminho do arquivo para um arquivo de token de quórum designado para aprovar a operação. Exigido somente se o valor do quórum do serviço de usuário do quórum for maior que 1.
<DEREGISTER>
-
Cancela o registro da chave pública da MFA, se presente.
<CHANGE-QUORUM>
-
Altera a chave pública do quórum junto com a chave de MFA.