翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS CloudHSM 管理ユーティリティを使用して HSM ユーザーの 2FA を管理する
<a name="rotate-2fa"></a>

 AWS CloudHSM 管理ユーティリティ (CMU) **changePswd**で を使用して、ユーザーの 2 要素認証 (2FA) を変更します。2FA を有効化にするたびに、2FA ログイン用のパブリックキーを指定する必要があります。

**changePswd** は、次のいずれかのシナリオを実行します。
+ 2FA ユーザーのパスワード変更
+ 非 2FA ユーザーのパスワード変更
+ 非 2FA ユーザーに 2FA の追加
+ 2FA ユーザーから 2FA の削除
+ 2FA ユーザーのキーのローテーション化

また、タスクを組み合わせることもできます。たとえば、ユーザーから 2FA を削除すると同時にパスワードの変更や、2FA キーをローテーション化してユーザーパスワードの変更を行うことができます。

**2FA が有効な CO ユーザーのパスワードの変更、またはキーのローテーション化**

1. CMU を使用し、2FA が有効な CO として HSM にログインします。

1.  **changePswd** を使用して、2FA が有効な CO ユーザーからパスワードを変更するか、キーをローテーション化します。`-2fa` パラメータを使用して、システムが `authdata` ファイルに書き込むファイルシステム内の位置を含みます。このファイルには、クラスター内の各 HSM のダイジェストが含まれています。

   ```
   aws-cloudhsm > changePswd CO example-user <new-password> -2fa /path/to/authdata
   ```

   CMU は、プライベートキーを使用して、`authdata` ファイル内のダイジェストに署名を要求するプロンプトが表示され、署名はパブリックキー付きで返却されます。

1. プライベートキーを使用して、`authdata` ファイル内のダイジェストに署名し、署名とパブリックキーを JSON 形式の `authdata` ファイルに追加後、CMU に `authdata` ファイルの位置を追加します。詳細情報は、[AWS CloudHSM 管理ユーティリティを使用した 2FA の設定リファレンス](reference-2fa.md) を参照してください。
**注記**  
クラスターは、クォーラム認証と 2FA に同じキーを使用します。クォーラム認証を使用している場合、またはクォーラム認証を使用する予定の場合は、[AWS CloudHSM 管理ユーティリティを使用した AWS CloudHSM クラスターのクォーラム認証と 2FA](quorum-2fa.md) を参照してください。