Comprendre la MFA pour les utilisateurs de HSM - AWS CloudHSM
Authentification par quorum et MFA

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre la MFA pour les utilisateurs de HSM

Lorsque vous vous connectez à un cluster avec un compte utilisateur HSM compatible MFA, vous fournissez votre mot de passe à la CLI CloudHSM (le premier facteur, ce que vous savez) et la CLI CloudHSM vous fournit un jeton et vous invite à le faire signer.

Pour fournir le deuxième facteur, c'est-à-dire ce que vous avez, vous signez le jeton avec une clé privée provenant d'une paire de clés que vous avez déjà créée et associée à l'utilisateur HSM. Pour accéder au cluster, vous devez fournir le jeton signé à la CLI CloudHSM.

Pour plus d'informations sur la configuration de la MFA pour un utilisateur, veuillez consulter Configuration de la MFA pour la CLI CloudHSM

Authentification par quorum et MFA

Le cluster utilise la même clé pour l'authentification par quorum et pour l'authentification MFA. Cela signifie qu'un utilisateur dont la MFA est activée est effectivement enregistré pour le contrôle d'accès MofN ou Quroum. Pour utiliser correctement l'authentification MFA et le quorum pour le même utilisateur HSM, tenez compte des points suivants :

  • Si vous utilisez l'authentification par quorum pour un utilisateur aujourd'hui, vous devez utiliser la même paire de clés que celle que vous avez créée pour l'utilisateur du quorum afin d'activer le MFA pour cet utilisateur.

  • Si vous ajoutez l'exigence MFA pour un utilisateur non MFA qui n'est pas un utilisateur d'authentification par quorum, vous enregistrez cet utilisateur en tant qu'utilisateur enregistré Quroum (MofN) avec authentification MFA.

  • Si vous supprimez l'exigence MFA ou modifiez le mot de passe d'un utilisateur MFA qui est également un utilisateur enregistré avec authentification par quorum, vous supprimerez également l'enregistrement de l'utilisateur en tant qu'utilisateur du quorum (MofN).

  • Si vous supprimez l'exigence MFA ou modifiez le mot de passe d'un utilisateur MFA qui est également un utilisateur utilisant l'authentification par quorum, mais que vous souhaitez toujours que cet utilisateur participe à l'authentification par quorum, vous devez l'enregistrer à nouveau en tant qu'utilisateur du quorum (MofN).

Pour de plus amples informations sur l'authentification par quorum, veuillez consulter Gestion du quorum (M sur N).