使用 CMU 更改用户的密码 - AWS CloudHSM

使用 CMU 更改用户的密码

使用 AWS CloudHSM cloudhsm_mgmt_util(CMU)中的 changePswd 命令更改 AWS CloudHSM 集群中硬件安全模块(HSM)上现有用户的密码。

所有用户都可更改自己的密码。此外,加密员(CO 和 PCO)可以更改另一个 CO 或加密用户(CU)的密码。您无需输入当前密码即可进行此更改。

注意

您无法更改当前已登录 AWS CloudHSM 客户端或 key_mgmt_util 的用户的密码。

在运行任何 CMU 命令之前,必须启动 CMU 并登录 HSM。请确保使用可运行您计划使用的命令的用户类型登录。

如果您要添加或删除 HSM,请更新 CMU 的配置文件。否则,您所做的更改可能不会对集群中的所有 HSM 生效。

用户类型

以下用户均可运行此命令。

  • 加密员(CO)

  • 加密用户 (CU)

语法

按照语法图表中指定的顺序输入参数。使用 -hpswd 参数来掩盖您的密码。要为 CO 用户启用双重身份验证 (2FA, two-factor authentication),请使用 -2fa 参数并添加文件路径。有关更多信息,请参阅 参数

changePswd <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]

示例

以下示例说明如何使用 changePassword 重置当前用户或 HSM 中的任何其他用户的密码。

例 :更改您的密码

HSM 上的任何用户都可使用 changePswd 更改自己的密码。在更改密码之前,请使用 info 获取有关集群中每个 HSM 的信息,包括已登录用户的用户名和用户类型。

以下输出显示 Bob 目前已以加密用户 (CU) 身份登录。

aws-cloudhsm> info server 0 Id Name Hostname Port State Partition LoginState 0 10.1.9.193 10.1.9.193 2225 Connected hsm-jqici4covtv Logged in as 'bob(CU)' aws-cloudhsm> info server 1 Id Name Hostname Port State Partition LoginState 1 10.1.10.7 10.1.10.7 2225 Connected hsm-ogi3sywxbqx Logged in as 'bob(CU)'

为了更改密码,Bob 运行后跟用户类型、用户名和新密码的 changePswd

aws-cloudhsm> changePswd CU bob newPassword *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y Changing password for bob(CU) on 2 nodes
例 :更改其他用户的密码

您必须是 CO 或 PCO 才能更改 HSM 上另一个 CO 或 CU 的密码。在更改其他用户的密码之前,请使用 info 命令以确认您的用户类型为 CO 或 PCO。

以下输出确认作为 CO 的 Alice 当前已登录。

aws-cloudhsm>info server 0 Id Name Hostname Port State Partition LoginState 0 10.1.9.193 10.1.9.193 2225 Connected hsm-jqici4covtv Logged in as 'alice(CO)' aws-cloudhsm>info server 1 Id Name Hostname Port State Partition LoginState 0 10.1.10.7 10.1.10.7 2225 Connected hsm-ogi3sywxbqx Logged in as 'alice(CO)'

Alice 想重置另一个用户 John 的密码。她在更改密码之前,使用 listUsers 命令验证 John 的用户类型。

以下输出将 John 列出为 CO 用户。

aws-cloudhsm> listUsers Users on server 0(10.1.9.193): Number of users found:5 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin YES 0 NO 2 AU jane NO 0 NO 3 CU bob NO 0 NO 4 CU alice NO 0 NO 5 CO john NO 0 NO Users on server 1(10.1.10.7): Number of users found:5 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin YES 0 NO 2 AU jane NO 0 NO 3 CU bob NO 0 NO 4 CO alice NO 0 NO 5 CO john NO 0 NO

为了更改密码,Alice 运行后跟用户类型、用户名和新密码的 changePswd

aws-cloudhsm>changePswd CO john newPassword *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y Changing password for john(CO) on 2 nodes

参数

按照语法图表中指定的顺序输入参数。使用 -hpswd 参数来掩盖您的密码。要为 CO 用户启用 2FA,请使用 -2fa 参数并添加文件路径。有关使用 2FA 的更多信息,请参阅 管理用户 2FA

changePswd <user-type> <user-name> <password |-hpswd> [-2fa </path/to/authdata>]
<user-type>

指定您要更改其密码的用户的当前类型。您不能使用 changePswd 来更改用户类型。

有效值为 COCUPCOPRECO

要获取用户类型,请使用 listUsers。有关 HSM 上的用户类型的详细信息,请参阅 AWS CloudHSM 管理实用程序的 HSM 用户类型

必需:是

<user-name>

指定用户的友好名称。此参数不区分大小写。您不能使用 changePswd 来更改用户名。

必需:是

<password | -hpswd >

为用户指定新密码。输入一个包含 7 到 32 个字符的字符串。此值区分大小写。密码在键入时将明文显示。要隐藏密码,请使用 -hpswd 参数代替密码,然后按照提示操作。

必需:是

[-2fa </path/to/authdata>]

指定为该 CO 用户启用 2FA。要获取设置 2FA 所需的数据,请在 -2fa 参数后加上文件系统中带有文件名的位置的路径。有关使用 2FA 的更多信息,请参阅 管理用户 2FA

必需:否

相关 主题