翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# CloudHSM CLI のユーザーカテゴリ
CloudHSM CLI では、**user** はコマンドグループの親カテゴリであり、親カテゴリと組み合わせるとユーザー固有のコマンドが作成されます。現在、このユーザーカテゴリは次のコマンドで構成されています。
+ [user change-mfa](cloudhsm_cli-user-change-mfa.md)
+ [user change-password](cloudhsm_cli-user-change-password.md)
+ [user create](cloudhsm_cli-user-create.md)
+ [user delete](cloudhsm_cli-user-delete.md)
+ [user list](cloudhsm_cli-user-list.md)
+ [user replicate](cloudhsm_cli-user-replicate.md)
# CloudHSM CLI のユーザー change-mfa カテゴリ
CloudHSM CLI において、**user change-mfa** は、多要素認証 (MFA) の変更に特化したコマンドを作成するために、親カテゴリと組み合わせて使用されるコマンド群の親カテゴリです。
現在、このカテゴリは次のサブコマンドで構成されています。
+ [token-sign](cloudhsm_cli-user-change-mfa-token-sign.md)
# CloudHSM CLI を使用してユーザーの MFA 設定を変更する
CloudHSM CLI で **user change-mfa token-sign** コマンドを使用して、ユーザーアカウントの多要素認証 (MFA) 設定を更新します。このコマンドは、どのユーザーアカウントでも実行できます。Admin ロールを持つアカウントは、他のユーザーに対してこのコマンドを実行できます。
## ユーザーのタイプ
このコマンドは、次のユーザーが実行できます。
+ 管理者
+ Crypto User
## 構文
現在、ユーザーが利用できる多要素戦略は「トークン署名」だけです。
```
aws-cloudhsm > help user change-mfa
Change a user's Mfa Strategy
Usage:
user change-mfa
Commands:
token-sign Register or Deregister a public key using token-sign mfa strategy
help Print this message or the help of the given subcommand(s)
```
トークン署名戦略では、署名されていないトークンを書き込むためのトークンファイルを要求します。
```
aws-cloudhsm > help user change-mfa token-sign
Register or Deregister a public key using token-sign mfa strategy
Usage: user change-mfa token-sign [OPTIONS] --username --role <--token |--deregister>
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--username
Username of the user that will be modified
--role
Role the user has in the cluster
Possible values:
- crypto-user: A CryptoUser has the ability to manage and use keys
- admin: An Admin has the ability to manage user accounts
--change-password
Optional: Plaintext user's password. If you do not include this argument you will be prompted for it
--token
Filepath where the unsigned token file will be written. Required for enabling MFA for a user
--approval
Filepath of signed quorum token file to approve operation
--deregister
Deregister the MFA public key, if present
--change-quorum
Change the Quorum public key along with the MFA key
-h, --help
Print help (see a summary with '-h')
```
## 例
このコマンドは、クラスター内の HSM ごとに 1 つの未署名トークンを `token` で指定されたファイルに書き込みます。プロンプトが表示されたら、ファイル内のトークンに署名します。
**Example : クラスターの HSM ごとに 1 つの署名なしトークンを書き込みます**
```
aws-cloudhsm > user change-mfa token-sign --username cu1 --change-password password --role crypto-user --token /path/myfile
Enter signed token file path (press enter if same as the unsigned token file):
Enter public key PEM file path:/path/mypemfile
{
"error_code": 0,
"data": {
"username": "test_user",
"role": "admin"
}
}
```
### 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
ユーザーアカウントに付与されるロールを指定します。このパラメータは必須です。HSM のユーザータイプの詳細については、「[HSM ユーザーについて](manage-hsm-users.md)」を参照してください。
**有効な値**
+ **Admin**:管理者はユーザーを管理できますが、キーを管理することはできません。
+ **Crypto user**: Crypto User は、管理キーを作成し、暗号化オペレーションでキーを使用できます。
******
ユーザーのわかりやすい名前を指定します。最大長は 31 文字です。許可されている唯一の特殊文字はアンダースコア (\$1) です。
ユーザーの作成後にユーザー名を変更することはできません。CloudHSM CLI コマンドでは、ロールとパスワードでは大文字と小文字が区別されますが、ユーザー名では区別されません。
**必須**: はい
******
MFA を登録/登録解除するユーザーのプレーンテキストの新しいパスワードを指定します。
**必須**: はい
******
署名なしトークンファイルが書き込まれるファイルパス。
**必須**: はい
******
オペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。クォーラムユーザーサービスのクォーラム値が 1 より大きい場合にのみ必要です。
******
MFA パブリックキーが存在する場合、登録を解除します。
******
クォーラムパブリックキーを MFA キーと一緒に変更します。
## 関連トピック
+ [HSM ユーザー用 2FA について](login-mfa-token-sign.md)
# CloudHSM CLI でユーザーのパスワードを変更する
CloudHSM CLI の **user change-password** コマンドを使用して、 AWS CloudHSM クラスター内の既存のユーザーのパスワードを変更します。ユーザーの MFA を有効にするには、`user change-mfa` コマンドを使用します。
どのユーザーも自分のパスワードを変更できます。さらに、管理者ロールを持つユーザーは、クラスター内の別のユーザーのパスワードを変更できます。変更するために現在のパスワードを入力する必要はありません。
**注記**
現在クラスターにログインしているユーザーのパスワードは変更できません。
## ユーザーのタイプ
このコマンドは、次のユーザーが実行できます。
+ 管理者
+ Crypto User (CU)
## 構文
**注記**
ユーザーの多要素認証 (MFA) を有効にするには、**user change-mfa** コマンドを使用します。
```
aws-cloudhsm > help user change-password
Change a user's password
Usage:
cloudhsm-cli user change-password [OPTIONS] --username --role [--password ]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--username
Username of the user that will be modified
--role
Role the user has in the cluster
Possible values:
- crypto-user: A CryptoUser has the ability to manage and use keys
- admin: An Admin has the ability to manage user accounts
--password
Optional: Plaintext user's password. If you do not include this argument you will be prompted for it
--approval
Filepath of signed quorum token file to approve operation
--deregister-mfa
Deregister the user's mfa public key, if present
--deregister-quorum
Deregister the user's quorum public key, if present
-h, --help
Print help (see a summary with '-h')
```
## 例
次の例は、**user change-password** を使用して、現在のユーザーまたはクラスター内の他のユーザーのパスワードをリセットする方法を示しています。
**Example : パスワードの変更**
クラスター内のすべてのユーザーは、**user change-password** を使用して自分のパスワードを変更できます。
次の出力は、Bob が現在 Crypto User (CU) としてログインしていることを示しています。
```
aws-cloudhsm > user change-password --username bob --role crypto-user
Enter password:
Confirm password:
{
"error_code": 0,
"data": {
"username": "bob",
"role": "crypto-user"
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
オペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。クォーラムユーザーサービスのクォーラム値が 1 より大きい場合にのみ必要です。
******
MFA パブリックキーが存在する場合、登録を解除します。
******
Quorum パブリックキーがある場合は、登録を解除します。
******
ユーザーのプレーンテキストの新しいパスワードを指定します。「:」の文字は使用できません。
**必須**: はい
******
ユーザーアカウントに付与されるロールを指定します。このパラメータは必須です。HSM のユーザータイプの詳細については、「[HSM ユーザーについて](manage-hsm-users.md)」を参照してください。
**有効な値**
+ **Admin**:管理者はユーザーを管理できますが、キーを管理することはできません。
+ **Crypto user**: Crypto User は、管理キーを作成し、暗号化オペレーションでキーを使用できます。
******
ユーザーのわかりやすい名前を指定します。最大長は 31 文字です。許可されている唯一の特殊文字はアンダースコア (\$1) です。
ユーザーの作成後にユーザー名を変更することはできません。CloudHSM CLI コマンドでは、ロールとパスワードでは大文字と小文字が区別されますが、ユーザー名では区別されません。
**必須**: はい
## 関連トピック
+ [user list](cloudhsm_cli-user-list.md)
+ [user create](cloudhsm_cli-user-create.md)
+ [user delete](cloudhsm_cli-user-delete.md)
# CloudHSM CLI のユーザークォーラム変更カテゴリ
CloudHSM CLI では、**user change-quorum** はコマンドグループの親カテゴリであり、これを親カテゴリと組み合わせると、ユーザーのクォーラム変更専用のコマンドが作成されます。
**user change-quorum** は指定されたクォーラム戦略を使用してユーザークォーラム認証を登録するために使用されます。SDK 5.8.0 では、次に示すように、ユーザーが利用できるクォーラム戦略は 1 つだけです。
現在、このカテゴリは次のカテゴリとサブコマンドで構成されています。
+ [token-sign](cloudhsm_cli-user-chqm-token.md)
+ [登録](cloudhsm_cli-user-chqm-token-reg.md)
# CloudHSM CLI の change-quorum token-sign カテゴリ
CloudHSM CLI では、**user change-quorum token-sign** はコマンドの親カテゴリで、この親カテゴリと組み合わせるとトークン署名クォーラムオペレーション専用のコマンドが作成されます。
現在、このカテゴリは以下のコマンドで構成されています。
+ [登録](cloudhsm_cli-user-chqm-token-reg.md)
# CloudHSM CLI を使用してユーザーのトークン署名クォーラム戦略を登録する
CloudHSM CLI の **user change-quorum token-sign register** コマンドを使用して、管理者ユーザーのトークン署名クォーラム戦略を登録します。
## ユーザーのタイプ
このコマンドは、次のユーザーが実行できます。
+ 管理者
## Syntax
```
aws-cloudhsm > help user change-quorum token-sign register
Register a user for quorum authentication with a public key
Usage: user change-quorum token-sign register --public-key --signed-token
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--public-key Filepath to public key PEM file
--signed-token Filepath with token signed by user private key
-h, --help Print help (see a summary with '-h')
```
## 例
**Example**
このコマンドを実行するには、**register quorum token-sign** を実行するユーザーとしてログインする必要があります。
```
aws-cloudhsm > login --username admin1 --role admin
Enter password:
{
"error_code": 0,
"data": {
"username": "admin1",
"role": "admin"
}
}
```
**user change-quorum token-sign register** コマンドは HSM にパブリックキーを登録します。その結果、必要なクォーラム値のしきい値を満たすためにユーザーがクォーラム署名を取得する必要があるクォーラム必須オペレーションのクォーラム承認者としての資格が得られます。
```
aws-cloudhsm > user change-quorum token-sign register \
--public-key /home/mypemfile \
--signed-token /home/mysignedtoken
{
"error_code": 0,
"data": {
"username": "admin1",
"role": "admin"
}
}
```
これで、**user list** コマンドを実行して、このユーザーにクォーラムトークン署名が登録されていることを確認できます。
```
aws-cloudhsm > user list
{
"error_code": 0,
"data": {
"users": [
{
"username": "admin",
"role": "admin",
"locked": "false",
"mfa": [],
"quorum": [],
"cluster-coverage": "full"
},
{
"username": "admin1",
"role": "admin",
"locked": "false",
"mfa": [],
"quorum": [
{
"strategy": "token-sign",
"status": "enabled"
}
],
"cluster-coverage": "full"
}
]
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
パブリックキー PEM ファイルへのファイルパス。
**必須**: はい
******
ユーザーのプライベートキーで署名されたトークンを含むファイルパス。
**必須**: はい
## 関連トピック
+ [CloudHSM CLI を使用してクォーラム認証を管理する](quorum-auth-chsm-cli.md)
+ [管理者用クォーラム認証を使用する: 初回セットアップ](quorum-auth-chsm-cli-first-time.md)
+ [管理者のクォーラム最小値を変更する](quorum-auth-chsm-cli-min-value.md)
+ [クォーラム認証をサポートするサービス名とタイプ](quorum-auth-chsm-cli-service-names.md)
# CloudHSM CLI を使用して AWS CloudHSM ユーザーを作成する
CloudHSM CLI の **user create** コマンドは、 AWS CloudHSM クラスターにユーザーを作成します。このコマンドを実行できるのは、管理者ロールを持つユーザーアカウントのみです。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ 管理者
## 要件
このコマンドを実行するには、管理者ユーザーとしてログインする必要があります
## Syntax
```
aws-cloudhsm > help user create
Create a new user
Usage: cloudhsm-cli user create [OPTIONS] --username --role [--password ]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--username
Username to access the HSM cluster
--role
Role the user has in the cluster
Possible values:
- crypto-user: A CryptoUser has the ability to manage and use keys
- admin: An Admin has the ability to manage user accounts
--password
Optional: Plaintext user's password. If you do not include this argument you will be prompted for it
--approval
Filepath of signed quorum token file to approve operation
-h, --help
Print help (see a summary with '-h')
```
## 例
以下の例では、**user create** を使用して HSM に新しいユーザーを作成する方法を示します。
**Example : Crypto User を作成する**
この例では、 暗号化ユーザーロールを使用して AWS CloudHSM クラスターに アカウントを作成します。
```
aws-cloudhsm > user create --username alice --role crypto-user
Enter password:
Confirm password:
{
"error_code": 0,
"data": {
"username": "alice",
"role": "crypto-user"
}
}
```
## 引数
**
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
**
ユーザーのわかりやすい名前を指定します。最大長は 31 文字です。許可されている唯一の特殊文字はアンダースコア (\$1) です。このコマンドではユーザー名の大文字と小文字は区別されません。ユーザー名は常に小文字で表示されます。
必須: はい
**
このユーザーに割り当てられるロールを指定します。このパラメータは必須です。有効な値は **admin**、**crypto-user** です。
ユーザーのロールを取得するには、**user list** コマンドを使用します。HSM のユーザー タイプの詳細については、「[HSM ユーザーについて](manage-hsm-users.md)」を参照してください。
**
HSM にログインしているユーザーのパスワードを指定します。「:」の文字は使用できません。
必須: はい
**
オペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。クォーラムユーザーサービスのクォーラム値が 1 より大きい場合にのみ必要です。
## 関連トピック
+ [user list](cloudhsm_cli-user-list.md)
+ [user delete](cloudhsm_cli-user-delete.md)
+ [user change-password](cloudhsm_cli-user-change-password.md)
# CloudHSM CLI で AWS CloudHSM ユーザーを削除する
CloudHSM CLI の **user delete** コマンドは、 AWS CloudHSM クラスターからユーザーを削除します。このコマンドを実行できるのは、管理者ロールを持つユーザーアカウントのみです。現在 HSM にログインしているユーザーを削除することはできません。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ 管理者
## 要件
+ キーを所有しているユーザーアカウントを削除することはできません。
+ このコマンドを実行するには、ユーザーアカウントに管理者ロールが必要です。
## 構文
このコマンドには名前付きパラメータがないため、引数は図表で指定された順序で入力する必要があります。
```
aws-cloudhsm > help user delete
Delete a user
Usage: user delete [OPTIONS] --username --role
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--username
Username to access the HSM cluster
--role
Role the user has in the cluster
Possible values:
- crypto-user: A CryptoUser has the ability to manage and use keys
- admin: An Admin has the ability to manage user accounts
--approval
Filepath of signed quorum token file to approve operation
```
## 例
```
aws-cloudhsm > user delete --username alice --role crypto-user
{
"error_code": 0,
"data": {
"username": "alice",
"role": "crypto-user"
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
ユーザーのわかりやすい名前を指定します。最大長は 31 文字です。許可されている唯一の特殊文字はアンダースコア (\$1) です。このコマンドではユーザー名の大文字と小文字は区別されません。ユーザー名は常に小文字で表示されます。
必須: はい
******
このユーザーに割り当てられるロールを指定します。このパラメータは必須です。有効な値は **admin**、**crypto-user** です。
ユーザーのロールを取得するには、**user list** コマンドを使用します。HSM のユーザータイプの詳細については、「[HSM ユーザーについて](manage-hsm-users.md)」を参照してください。
必須: はい
******
オペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。クォーラムユーザーサービスのクォーラム値が 1 より大きい場合にのみ必要です。
必須: はい
## 関連トピック
+ [user list](cloudhsm_cli-user-list.md)
+ [user create](cloudhsm_cli-user-create.md)
+ [user change-password](cloudhsm_cli-user-change-password.md)
# CloudHSM CLI を使用するすべての AWS CloudHSM ユーザーを一覧表示する
CloudHSM CLI の **user list** コマンドは、 AWS CloudHSM クラスターに存在するユーザーアカウントを一覧表示します。このコマンドは、CloudHSM CLI にログインしていなくても実行できます。
**注記**
HSMs を追加または削除する場合は、 AWS CloudHSM クライアントとコマンドラインツールが使用する設定ファイルを更新します。そうしないと、クラスター内のすべての HSM で変更が有効にならない場合があります。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ すべてのユーザー。このコマンドは、ログインしていなくても実行できます。
## Syntax
```
aws-cloudhsm > help user list
List the users in your cluster
USAGE:
user list
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## 例
このコマンドは、CloudHSM クラスターに存在するユーザーを一覧表示します。
```
aws-cloudhsm > user list
{
"error_code": 0,
"data": {
"users": [
{
"username": "admin",
"role": "admin",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
},
{
"username": "test_user",
"role": "admin",
"locked": "false",
"mfa": [
{
"strategy": "token-sign",
"status": "enabled"
}
],
"cluster-coverage": "full"
},
{
"username": "app_user",
"role": "internal(APPLIANCE_USER)",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
}
]
}
}
```
この出力が示すユーザー属性は以下のとおりです。
+ **Username**: ユーザー定義のわかりやすいユーザー名を表示します。ユーザー名は常に小文字で表示されます。
+ **Role**: HSM でユーザーが実行できるオペレーションを決定します。
+ **Locked**: このユーザーアカウントがロックアウトされているかどうかを示します。
+ **MFA**: このユーザーアカウントでサポートされている多要素認証メカニズムを示します。
+ **Cluster coverage**: このユーザーアカウントのクラスター全体での可用性を示します。
## 関連トピック
+ key\$1mgmt\$1util で [listUsers](key_mgmt_util-listUsers.md)
+ [user create](cloudhsm_cli-user-create.md)
+ [user delete](cloudhsm_cli-user-delete.md)
+ [user change-password](cloudhsm_cli-user-change-password.md)
# CloudHSM CLI でユーザーをレプリケートする
CloudHSM CLI の **user replicate** コマンドを使用して、ユーザーをソース AWS CloudHSM クラスターから宛先 AWS CloudHSM クラスターにレプリケートします。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ 管理者 (CO)
## 要件
+ 送信元クラスターと送信先クラスターはクローンである必要があります。つまり、一方が他方のバックアップから作成されたか、どちらも共通のバックアップから作成されたということです。詳細については「[バックアップからクラスターを作成する](create-cluster-from-backup.md)」を参照してください。
+ このコマンドを実行するには、送信元クラスターと送信先クラスターの両方で、管理者としてログインしている必要があります。
+ 単一コマンドモードでは、コマンドは CLOUDHSM\$1PIN および CLOUDHSM\$1ROLE 環境変数を使用してソースクラスターで認証します。詳細については「[シングルコマンドモード](cloudhsm_cli-modes.md#cloudhsm_cli-mode-single-command)」を参照してください。送信先クラスターの認証情報を提供するには、DESTINATION\$1CLOUDHSM\$1PIN と DESTINATION\$1CLOUDHSM\$1ROLE の 2 つの追加の環境変数を設定する必要があります。
```
$ export DESTINATION_CLOUDHSM_ROLE=
```
```
$ export DESTINATION_CLOUDHSM_PIN=
```
+ インタラクティブモードでは、ユーザーは送信元クラスターと送信先クラスターの両方に明示的にログインする必要があります。
## 構文
```
aws-cloudhsm > help user replicate
Replicate a user from a source to a destination cluster
Usage: user replicate --username --role --source-cluster-id --destination-cluster-id
Options:
--username
Username of the user to replicate
--role
Role the user has in the cluster
Possible values:
- crypto-user: A CryptoUser has the ability to manage and use keys
- admin: An Admin has the ability to manage user accounts
--source-cluster-id
Source cluster ID
--destination-cluster-id
Destination cluster ID
-h, --help
Print help (see a summary with '-h')
```
## 例
**Example 例: ユーザーをレプリケートする**
このコマンドは、送信元のクラスターから送信先クラスター (クローン) にユーザーをレプリケートします。以下の例は、両方のクラスターに管理者としてログインしたときの出力を示しています。
```
admin-user@cluster-1234abcdefg > user replicate \
--username example-admin \
--role admin \
--source-cluster-id cluster-1234abcdefg \
--destination-cluster-id cluster-2345bcdefgh
{
"error_code": 0,
"data": {
"user": {
"username": "example-admin",
"role": "admin",
"locked": "false",
"mfa": [],
"quorum": [],
"cluster-coverage": "full"
},
"message": "Successfully replicated user"
}
}
```
## 引数
******
ソースクラスターでレプリケートするユーザーのユーザー名を指定します。
必須: はい
******
このユーザーに割り当てられるロールを指定します。このパラメータは必須です。有効な値は **admin**、**crypto-user** です。
ユーザーのロールを取得するには、**user list** コマンドを使用します。HSM のユーザータイプの詳細については、「[HSM ユーザーについて](manage-hsm-users.md)」を参照してください。
必須: はい
******
送信元クラスターの ID。
必須: はい
******
送信先クラスターの ID。
必須: はい
## 関連トピック
+ [CloudHSM CLI を使用した複数のクラスターへの接続](cloudhsm_cli-configs-multi-cluster.md)