本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 CloudHSM CLI 管理仲裁身份验证(M of N 访问控制) AWS CloudHSM 集群支持法定身份验证,也称为 M of N 访问控制。此功能要求 HSM 用户合作完成某些操作,从而增加了一层额外的保护。 对于仲裁身份验证,HSM 上的单个用户不能在 HSM 上执行仲裁控制型操作。必须有最少数量 (至少 2 个) 的 HSM 用户合作才能执行这些操作。 仲裁身份验证可以控制以下操作: + [管理员](understanding-users.md#admin) HSM 用户管理:创建和删除 HSM 用户,或者更改其他 HSM 用户的密码。有关更多信息,请参阅 [使用 AWS CloudHSM CloudHSM CLI 时启用了法定身份验证的用户管理](quorum-auth-chsm-cli-admin.md)。 AWS CloudHSM中有关仲裁身份验证的要点。 + HSM 用户可为自己的仲裁令牌签名,也就是说,提供仲裁身份验证所需的批准之一。 + 您可以选择仲裁批准者的最小数量,介于二(2)到八(8)范围之内。 + HSMs 最多可以存储 1024 个法定代币。达到此限制后,HSM 会清除过期的令牌以创建新令牌。 + 默认情况下,令牌将在创建 10 分钟后过期。 + 对于启用了 MFA 的集群,将使用同一密钥进行仲裁身份验证和多重身份验证(MFA)。有关更多信息,请参阅[使用 CloudHSM CLI 管理 MFA](login-mfa-token-sign.md)。 + 针对每项管理服务,每个 HSM 可以包含一个令牌,针对每项加密用户服务,每个 HSM 可以包含多个令牌。 下列主题提供了有关 AWS CloudHSM中的仲裁身份验证的更多信息。 **Topics** + [CloudHSM CLI 的仲裁身份验证过程](quorum-auth-chsm-cli-overview.md) + [使用 CloudHSM CLI 进行法定身份验证支持的 AWS CloudHSM 服务名称和类型](quorum-auth-chsm-cli-service-names.md) + [AWS CloudHSM 使用 CloudHSM CLI 为管理员设置法定身份验证](quorum-auth-chsm-cli-first-time.md) + [使用 AWS CloudHSM CloudHSM CLI 时启用了法定身份验证的用户管理](quorum-auth-chsm-cli-admin.md) + [更改使用 AWS CloudHSM CloudHSM CLI 时的最小法定人数值](quorum-auth-chsm-cli-min-value.md)