user change-mfa token-sign

CloudHSM CLI の user change-mfa コマンドを使用して、ユーザーアカウントの多要素認証 (MFA) 設定を更新します。このコマンドは、どのユーザーアカウントでも実行できます。Admin ロールを持つアカウントは、他のユーザーに対してこのコマンドを実行できます。

ユーザーのタイプ

このコマンドは、次のユーザーが実行できます。

• 管理

• Crypto User

Syntax

現在、ユーザーが利用できる多要素戦略は「トークン署名」だけです。

aws-cloudhsm > help user change-mfa
Change a user's Mfa Strategy

Usage:
    user change-mfa <COMMAND>
  
Commands:
  token-sign  Register or Deregister a public key using token-sign mfa strategy
  help        Print this message or the help of the given subcommand(s)
    

トークン署名戦略では、署名されていないトークンを書き込むためのトークンファイルを要求します。

aws-cloudhsm > help user change-mfa token-sign
Register or Deregister a public key using token-sign mfa strategy

Usage: user change-mfa token-sign [OPTIONS] --username <USERNAME> --role <ROLE> <--token <TOKEN>|--deregister>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --username <USERNAME>
          Username of the user that will be modified

      --role <ROLE>
          Role the user has in the cluster

          Possible values:
          - crypto-user: A CryptoUser has the ability to manage and use keys
          - admin:       An Admin has the ability to manage user accounts

      --change-password <CHANGE_PASSWORD>
          Optional: Plaintext user's password. If you do not include this argument you will be prompted for it

      --token <TOKEN>
          Filepath where the unsigned token file will be written. Required for enabling MFA for a user

      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation

      --deregister
          Deregister the MFA public key, if present

      --change-quorum
          Change the Quorum public key along with the MFA key

  -h, --help
          Print help (see a summary with '-h')

例

このコマンドは、クラスター内の HSM ごとに 1 つの未署名トークンを token で指定されたファイルに書き込みます。プロンプトが表示されたら、ファイル内のトークンに署名します。

例 : クラスターの HSM ごとに 1 つの署名なしトークンを書き込みます

aws-cloudhsm > user change-mfa token-sign --username cu1 --change-password password --role crypto-user --token /path/myfile
Enter signed token file path (press enter if same as the unsigned token file):
Enter public key PEM file path:/path/mypemfile
{
  "error_code": 0,
  "data": {
    "username": "test_user",
    "role": "admin"
  }
}

引数

<CLUSTER_ID>

このオペレーションを実行するクラスターの ID。

必須: 複数のクラスターが設定されている場合。

<ROLE>

ユーザーアカウントに付与されるロールを指定します。このパラメータは必須です。HSM のユーザータイプの詳細については、「HSM ユーザーについて」を参照してください。

有効な値

• Admin:管理者はユーザーを管理できますが、キーを管理することはできません。

• Crypto user: Crypto User は、管理キーを作成し、暗号化オペレーションでキーを使用できます。

<USERNAME>

ユーザーのわかりやすい名前を指定します。最大長は 31 文字です。許可されている唯一の特殊文字はアンダースコア (_) です。

ユーザーの作成後にユーザー名を変更することはできません。CloudHSM CLI コマンドでは、ロールとパスワードでは大文字と小文字が区別されますが、ユーザー名では区別されません。

必須: はい

<CHANGE_PASSWORD>

MFA を登録/登録解除するユーザーのプレーンテキストの新しいパスワードを指定します。

必須: はい

<TOKEN>

署名なしトークンファイルが書き込まれるファイルパス。

必須: はい

<APPROVAL>

オペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。クォーラムユーザーサービスのクォーラム値が 1 より大きい場合にのみ必要です。

<DEREGISTER>

MFA パブリックキーが存在する場合、登録を解除します。

<CHANGE-QUORUM>

クォーラムパブリックキーを MFA キーと一緒に変更します。

関連トピック

• HSM ユーザー用 2FA について