Gerenciar a 2FA para usuários do HSM usando o AWS CloudHSM Mangement Utility
Use o comando changePswd no AWS CloudHSM Management Utility (CMU) para modificar a autenticação de dois fatores (2FA) de um usuário. Cada vez que você habilita a 2FA, deve fornecer uma chave pública para logins de 2FA.
O comando changePswd executa um ou todos os seguintes cenários:
-
Alterar a senha para um usuário de 2FA
-
Alterar a senha para um usuário que não seja 2FA
-
Adicionar 2FA a um usuário que não seja 2FA
-
Remover 2FA de um usuário de 2FA
-
Rotacionar a chave para um usuário de 2FA
Você também pode combinar tarefas. Por exemplo, você pode remover a 2FA de um usuário e alterar a senha ao mesmo tempo, ou pode alternar a chave 2FA e alterar a senha do usuário.
Para alterar senhas ou alternar chaves para usuários de CO com 2FA habilitado
-
Use o CMU para fazer login no HSM como um CO com 2FA ativado.
-
Use changePswd para alterar a senha ou alternar a chave de usuários de CO com 2FA habilitado. Use o
-2faparâmetro e inclua um local no sistema de arquivos para que o sistema grave oauthdataarquivo. Esse arquivo inclui um resumo para cada HSM no cluster.aws-cloudhsm>changePswd CO example-user<new-password>-2fa/path/to/authdataO CMU solicita que você use a chave privada para assinar os resumos no
authdataarquivo e retornar as assinaturas com a chave pública. -
Use a chave privada para assinar os resumos no
authdataarquivo, adicionar as assinaturas e a chave pública aoauthdataarquivo formatado em JSON e, em seguida, fornecer à CMU a localização doauthdataarquivo. Para obter mais informações, consulte Referência da configuração da 2FA com o AWS CloudHSM Management Utility.nota
O cluster usa a mesma chave para autenticação de quórum e de 2FA. Se você estiver usando a autenticação de quórum ou planeja usar a autenticação de quórum, consulte. Autenticação de quórum e 2FA em clusters do AWS CloudHSM usando o AWS CloudHSM Management Utility
