user change-mfa token-sign - AWS CloudHSM
Type utilisateurSyntaxeExempleRubriques en relation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

user change-mfa token-sign

Utilisez la commande user change-mfa de la CLI CloudHSM pour mettre à jour la configuration de l'authentification multifactorielle (MFA) d'un compte utilisateur. N'importe quel compte utilisateur peut exécuter cette commande. Les comptes dotés du rôle d'administrateur peuvent exécuter cette commande pour d'autres utilisateurs.

Type utilisateur

Les utilisateurs suivants peuvent exécuter cette commande.

  • Administrateur

  • Utilisateur de chiffrement

Syntaxe

Actuellement, il n'existe qu'une seule stratégie multifactorielle disponible pour les utilisateurs : Token Sign.

aws-cloudhsm > help user change-mfa
Change a user's Mfa Strategy

Usage:
    user change-mfa <COMMAND>
  
Commands:
  token-sign  Register or Deregister a public key using token-sign mfa strategy
  help        Print this message or the help of the given subcommand(s)

La stratégie Token Sign demande un fichier de jetons dans lequel écrire des jetons non signés.

aws-cloudhsm > help user change-mfa token-sign
Register or Deregister a public key using token-sign mfa strategy

Usage: user change-mfa token-sign [OPTIONS] --username <USERNAME> --role <ROLE> <--token <TOKEN>|--deregister>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --username <USERNAME>
          Username of the user that will be modified

      --role <ROLE>
          Role the user has in the cluster

          Possible values:
          - crypto-user: A CryptoUser has the ability to manage and use keys
          - admin:       An Admin has the ability to manage user accounts

      --change-password <CHANGE_PASSWORD>
          Optional: Plaintext user's password. If you do not include this argument you will be prompted for it

      --token <TOKEN>
          Filepath where the unsigned token file will be written. Required for enabling MFA for a user

      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation

      --deregister
          Deregister the MFA public key, if present

      --change-quorum
          Change the Quorum public key along with the MFA key

  -h, --help
          Print help (see a summary with '-h')

Exemple

Cette commande écrira un jeton non signé par HSM de votre cluster dans le fichier spécifié par token. Lorsque vous y êtes invité, signez les jetons du fichier.

Exemple : écrivez un jeton non signé par HSM dans votre cluster
aws-cloudhsm > user change-mfa token-sign --username cu1 --change-password password --role crypto-user --token /path/myfile
Enter signed token file path (press enter if same as the unsigned token file):
Enter public key PEM file path:/path/mypemfile
{
  "error_code": 0,
  "data": {
    "username": "test_user",
    "role": "admin"
  }
}

Arguments

<CLUSTER_ID>

ID du cluster sur lequel exécuter cette opération.

Obligatoire : si plusieurs clusters ont été configurés.

<ROLE>

Spécifie le rôle attribué au compte utilisateur. Ce paramètre est obligatoire. Pour plus d'informations sur les types d'utilisateur sur un HSM, consultez Comprendre les utilisateurs HSM.

Valeurs valides

  • Administrateur : les administrateurs peuvent gérer les utilisateurs, mais ils ne peuvent pas gérer les clés.

  • CU : les utilisateurs de chiffrement peuvent créer et gérer des clés, et utiliser ces clés dans des opérations de chiffrement.

<USERNAME>

Spécifie un nom convivial pour l'utilisateur. La longueur maximale est de 31 caractères. Le seul caractère spécial autorisé est un trait de soulignement ( _ ).

Vous ne pouvez pas modifier le nom d'un utilisateur après l'avoir créé. Dans les commandes de la CLI CloudHSM, le rôle et le mot de passe sont sensibles à la casse, mais le nom d'utilisateur ne l'est pas.

Obligatoire : oui

<CHANGE_PASSWORD>

Spécifie le nouveau mot de passe en texte brut de l'utilisateur dont la MFA est enregistrée/désenregistrée.

Obligatoire : oui

<TOKEN>

Chemin de fichier dans lequel le fichier de jeton non signé sera écrit.

Obligatoire : oui

<APPROVAL>

Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur du quorum du service utilisateur du quorum est supérieure à 1.

<DEREGISTER>

Désenregistre la clé publique MFA, si elle est présente.

<CHANGE-QUORUM>

Modifie la clé publique du quorum ainsi que la clé MFA.

Rubriques en relation