user change-mfa token-sign - AWS CloudHSM
BenutzertypSyntaxBeispielVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

user change-mfa token-sign

Verwenden Sie den user change-mfa-Befehl in der CloudHSM-CLI, um die Einrichtung der Multi-Faktor-Authentifizierung (MFA) eines Benutzerkontos zu aktualisieren. Jedes Benutzerkonto kann diesen Befehl ausführen. Konten mit der Administratorrolle können diesen Befehl für andere Benutzer ausführen.

Benutzertyp

Die folgenden Benutzer können diesen Befehl ausführen.

  • Admin.

  • Crypto-Benutzer

Syntax

Derzeit steht Benutzern nur eine einzige Multi-Faktor-Strategie zur Verfügung: Token Sign.

aws-cloudhsm > help user change-mfa
Change a user's Mfa Strategy

Usage:
    user change-mfa <COMMAND>
  
Commands:
  token-sign  Register or Deregister a public key using token-sign mfa strategy
  help        Print this message or the help of the given subcommand(s)

Die Token-Sign-Strategie verlangt nach einer Token-Datei, in die unsignierte Token geschrieben werden sollen.

aws-cloudhsm > help user change-mfa token-sign
Register or Deregister a public key using token-sign mfa strategy

Usage: user change-mfa token-sign [OPTIONS] --username <USERNAME> --role <ROLE> <--token <TOKEN>|--deregister>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --username <USERNAME>
          Username of the user that will be modified

      --role <ROLE>
          Role the user has in the cluster

          Possible values:
          - crypto-user: A CryptoUser has the ability to manage and use keys
          - admin:       An Admin has the ability to manage user accounts

      --change-password <CHANGE_PASSWORD>
          Optional: Plaintext user's password. If you do not include this argument you will be prompted for it

      --token <TOKEN>
          Filepath where the unsigned token file will be written. Required for enabling MFA for a user

      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation

      --deregister
          Deregister the MFA public key, if present

      --change-quorum
          Change the Quorum public key along with the MFA key

  -h, --help
          Print help (see a summary with '-h')

Beispiel

Dieser Befehl schreibt ein unsigniertes Token pro HSM in Ihrem Cluster in die von token angegebene Datei. Signieren Sie die Token in der Datei, wenn Sie dazu aufgefordert werden.

Beispiel : Schreiben Sie ein unsigniertes Token pro HSM in Ihr Cluster
aws-cloudhsm > user change-mfa token-sign --username cu1 --change-password password --role crypto-user --token /path/myfile
Enter signed token file path (press enter if same as the unsigned token file):
Enter public key PEM file path:/path/mypemfile
{
  "error_code": 0,
  "data": {
    "username": "test_user",
    "role": "admin"
  }
}

Argumente

<CLUSTER_ID>

Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.

Erforderlich: Wenn mehrere Cluster konfiguriert wurden.

<ROLE>

Gibt die Rolle an, die dem Benutzerkonto zugewiesen wurde. Dieser Parameter muss angegeben werden. Ausführliche Informationen zu den Benutzertypen in einem HSM finden Sie unter HSM-Benutzer verstehen.

Zulässige Werte

  • Admin: Administratoren können Benutzer verwalten, aber sie können keine Schlüssel verwalten.

  • Crypto-Benutzer: Crypto-Benutzer können Schlüssel erstellen und verwalten und Schlüssel in kryptografischen Vorgängen verwenden.

<USERNAME>

Gibt einen Anzeigenamen für den Benutzer an. Die maximale Länge beträgt 31 Zeichen. Das einzige zulässige Sonderzeichen ist ein Unterstrich (_).

Sie können den Namen eines Benutzers nach der Erstellung nicht mehr ändern. Bei CloudHSM-CLI-Befehlen wird bei der Rolle und dem Passwort zwischen Groß- und Kleinschreibung unterschieden, beim Benutzernamen jedoch nicht.

Erforderlich: Ja

<CHANGE_PASSWORD>

Gibt das neue Klartext-Passwort des Benutzers an, dessen MFA registriert/deregistriert wird.

Erforderlich: Ja

<TOKEN>

Dateipfad, in den die unsignierte Tokendatei geschrieben wird.

Erforderlich: Ja

<APPROVAL>

Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Quorum-Benutzerdienstes größer als 1 ist.

<DEREGISTER>

Deregistriert den öffentlichen MFA-Schlüssel, falls vorhanden.

<CHANGE-QUORUM>

Ändert den öffentlichen Quorum-Schlüssel zusammen mit dem MFA-Schlüssel.

Verwandte Themen