本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Management Utility 管理 HSM 使用者的 AWS CloudHSM 2FA
<a name="rotate-2fa"></a>

在 AWS CloudHSM Management Utility (CMU) **changePswd**中使用 來修改使用者的雙重驗證 (2FA)。每次啟用 2FA 時，您都必須提供 2FA 登入的公用金鑰。

**changePswd** 會執行下列任一案例：
+ 變更 2FA 使用者的密碼
+ 變更 2FA 使用者的密碼
+ 為非 2FA 使用者新增 2FA
+ 移除 2FA 使用者的 2FA
+ 輪換 2FA 使用者的金鑰

您也可以合併任務。例如，您可以移除使用者的 2FA 並同時變更密碼，或輪換 2FA 金鑰並變更使用者密碼。

**如要為已啟用 2FA 的 CO 使用者變更密碼或輪換金鑰**

1. 使用 CMU 以已啟用 2FA 的 CO 身分登入 HSM。

1.  用 **changePswd** 變更密碼或向已啟用 2FA 的 CO 使用者輪換金鑰。使用 `-2fa` 參數並在檔案系統中指定一個位置，以便系統寫入 `authdata` 檔案。此檔案包含叢集中每個 HSM 的摘要。

   ```
   aws-cloudhsm > changePswd CO example-user <new-password> -2fa /path/to/authdata
   ```

   CMU 會提示您使用私有金鑰簽署 `authdata` 檔案中的摘要，並傳回含有公有金鑰的簽章。

1. 使用私有金鑰簽署 `authdata` 檔案中的摘要、將簽章和公有金鑰新增至 JSON 格式的 `authdata` 檔案，然後將 `authdata` 檔案位置提供給 CMU。如需詳細資訊，請參閱[使用 AWS CloudHSM Management Utility 的 2FA 組態參考](reference-2fa.md)。
**注意**  
叢集使用同一金鑰進行規定人數驗證和雙重要素驗證 (2FA)。如果您正在使用規定人數驗證或計劃使用法定驗證，請參閱 [使用 AWS CloudHSM Management Utility 的 AWS CloudHSM 叢集中的配額身分驗證和 2FA](quorum-2fa.md)。