user change-mfa token-sign - AWS CloudHSM
Tipo de usuarioSintaxisEjemploTemas relacionados de

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

user change-mfa token-sign

Utilice el comando user change-mfa de la CLI de CloudHSM para actualizar la configuración de la autenticación multifactor (MFA) de una cuenta de usuario. Cualquier cuenta de usuario puede ejecutar este comando. Las cuentas con el rol de administrador pueden ejecutar este comando para otros usuarios.

Tipo de usuario

Los usuarios siguientes pueden ejecutar este comando.

  • Administrador

  • Usuario de criptografía

Sintaxis

Actualmente, solo hay una estrategia multifactorial disponible para los usuarios: firma de token.

aws-cloudhsm > help user change-mfa
Change a user's Mfa Strategy

Usage:
    user change-mfa <COMMAND>
  
Commands:
  token-sign  Register or Deregister a public key using token-sign mfa strategy
  help        Print this message or the help of the given subcommand(s)

Esta estrategia solicita un archivo de token donde escribir los tokens sin firmar.

aws-cloudhsm > help user change-mfa token-sign
Register or Deregister a public key using token-sign mfa strategy

Usage: user change-mfa token-sign [OPTIONS] --username <USERNAME> --role <ROLE> <--token <TOKEN>|--deregister>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --username <USERNAME>
          Username of the user that will be modified

      --role <ROLE>
          Role the user has in the cluster

          Possible values:
          - crypto-user: A CryptoUser has the ability to manage and use keys
          - admin:       An Admin has the ability to manage user accounts

      --change-password <CHANGE_PASSWORD>
          Optional: Plaintext user's password. If you do not include this argument you will be prompted for it

      --token <TOKEN>
          Filepath where the unsigned token file will be written. Required for enabling MFA for a user

      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation

      --deregister
          Deregister the MFA public key, if present

      --change-quorum
          Change the Quorum public key along with the MFA key

  -h, --help
          Print help (see a summary with '-h')

Ejemplo

Este comando escribirá un token sin firmar por cada HSM del clúster en el archivo especificado por token. Cuando se le solicite, firme los tokens del archivo.

ejemplo : escriba un token sin firmar por cada HSM de su clúster.
aws-cloudhsm > user change-mfa token-sign --username cu1 --change-password password --role crypto-user --token /path/myfile
Enter signed token file path (press enter if same as the unsigned token file):
Enter public key PEM file path:/path/mypemfile
{
  "error_code": 0,
  "data": {
    "username": "test_user",
    "role": "admin"
  }
}

Argumentos

<CLUSTER_ID>

El ID del clúster en el que se va a ejecutar esta operación.

Obligatorio: si se han configurado varios clústeres.

<ROLE>

Especifica la función asignada a la cuenta de usuario. Este parámetro es obligatorio. Para obtener información detallada sobre los tipos de usuario en un HSM, consulte Entendiendo los usuarios de HSM .

Valores válidos

  • Administrador: los administradores pueden administrar a los usuarios, pero no las claves.

  • Usuario de criptografía: los usuarios de criptografía pueden crear y administrar claves, y usar claves en operaciones criptográficas.

<USERNAME>

Especifica un nombre fácil de recordar para el usuario. La longitud máxima es de 31 caracteres. El único carácter especial permitido es un guion bajo (_).

No puede cambiar el nombre de un usuario después de crearlo. En los comandos de la CLI de CloudHSM, el tipo de usuario y la contraseña distinguen entre mayúsculas y minúsculas, pero el nombre de usuario no.

Obligatorio: sí

<CHANGE_PASSWORD>

Especifica la nueva contraseña (en texto sin formato) del usuario cuya MFA se está registrando o anulando.

Obligatorio: sí

<TOKEN>

Ruta de archivo en la que se escribirá el archivo de token sin firmar.

Obligatorio: sí

<APPROVAL>

Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor del cuórum del servicio de usuario es superior a 1.

<DEREGISTER>

Anula el registro de la clave pública de la MFA, si está presente.

<CHANGE-QUORUM>

Cambia la clave pública del cuórum junto con la clave de la MFA.

Temas relacionados de