使用 AWS CloudHSM 管理实用程序为 HSM 用户管理 2FA - AWS CloudHSM

使用 AWS CloudHSM 管理实用程序为 HSM 用户管理 2FA

使用 AWS CloudHSM 管理实用程序(CMU)中的 changePswd 修改用户的双重身份验证(2FA)。每次启用 2FA 时,均须为 2FA 登录提供公有密钥。

changePswd 执行以下任何场景:

  • 更改 2FA 用户的密码

  • 更改非 2FA 用户的密码

  • 对非 2FA 用户添加 2FA

  • 删除 2FA 用户的 2FA

  • 轮换 2FA 用户的密钥

您还可以合并任务。例如,您可以删除用户的 2FA 并同时更改密码,或轮换 2FA 密钥并更改用户密码。

更改启用 2FA 的 CO 用户的密码或轮换其密钥

  1. 通过 CMU 以启用 2FA 的 CO 身份登录 HSM。

  2. 使用 changePswd 更改启用 2FA 的 CO 用户的密码或轮换其密钥。使用 -2fa 参数并在文件系统中添加系统写入 authdata 文件的位置。此文件包含集群中每个 HSM 的摘要。

    aws-cloudhsm>changePswd CO example-user <new-password> -2fa /path/to/authdata

    CMU 将提示您使用私有密钥签署 authdata 文件中的摘要,并使用公有密钥返回签名。

  3. 使用私有密钥签署 authdata 文件中的摘要,将签名和公有密钥添加到 JSON 格式 authdata 的文件中,然后向 CMU 提供 authdata 文件的位置。有关更多信息,请参阅 使用 AWS CloudHSM 管理实用程序的 2FA 配置参考

    注意

    集群使用相同的密钥进行仲裁身份验证和双因素身份验证。如果您正在使用仲裁身份验证或计划使用仲裁身份验证,请参阅 使用 AWS CloudHSM 管理实用程序在 AWS CloudHSM 集群中仲裁身份验证和 2FA