本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 針對 CloudHSM CLI 啟用 MFA 的使用者輪換金鑰
請依照下列步驟,為啟用多重要素驗證 (MFA) AWS CloudHSM 的使用者輪換金鑰。
1. 使用 CloudHSM CLI 以任何管理員或已啟用 MFA 的特定使用者身分登入 HSM (如需詳細資訊,請參閱[已啟用 MFA的登入使用者]())。
1. 接下來,執行命令以變更 MFA 策略。您必須提供參數 **--token**。此參數指定將寫入未簽署權杖的檔案。
```
aws-cloudhsm > user change-mfa token-sign --token unsigned-tokens.json --username {{}} --role crypto-user --change-quorum
Enter password:
Confirm password:
```
1. 識別具有需要簽署但尚未權杖的檔案:`unsigned-tokens.json`。此檔案中的權杖數量取決於叢集中的 HSM 數目。每個權杖代表一個 HSM。這個檔案是 JSON 格式,包含需要簽署以證明您擁有私有金錀的權杖。這將是新 RSA 公有/私有金錀對中的新私有金錀 (您想要用其輪換目前已註冊公有金錀)。
```
$ cat unsigned-tokens.json
{
"version": "2.0",
"tokens": [
{
"unsigned": "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=",
"signed": ""
},
{
"unsigned": "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=",
"signed": ""
},
{
"unsigned": "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=",
"signed": ""
}
]
}
```
1. 使用您先前在設置過程中建立的私有金錀來簽署這些權杖。首先,必須擷取和解碼 base64 編碼的權杖。
```
$ echo "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=" > token1.b64
$ echo "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=" > token2.b64
$ echo "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=" > token3.b64
$ base64 -d token1.b64 > token1.bin
$ base64 -d token2.b64 > token2.bin
$ base64 -d token3.b64 > token3.bin
```
1. 您現在有二進制權杖。使用您先前在設定過程中建立的 RSA 私有金鑰來簽署這些權杖。
```
$ openssl pkeyutl -sign \
-inkey officer1.key \
-pkeyopt digest:sha256 \
-keyform PEM \
-in token1.bin \
-out token1.sig.bin
$ openssl pkeyutl -sign \
-inkey officer1.key \
-pkeyopt digest:sha256 \
-keyform PEM \
-in token2.bin \
-out token2.sig.bin
$ openssl pkeyutl -sign \
-inkey officer1.key \
-pkeyopt digest:sha256 \
-keyform PEM \
-in token3.bin \
-out token3.sig.bin
```
1. 現在,您有了已簽署的二進位權杖。使用 base64 對這些權杖進行編碼,然後將它們放回權杖檔案中。
```
$ base64 -w0 token1.sig.bin > token1.sig.b64
$ base64 -w0 token2.sig.bin > token2.sig.b64
$ base64 -w0 token3.sig.bin > token3.sig.b64
```
1. 最後,將 base64 值複製並粘貼回權杖檔案中:
```
{
"version": "2.0",
"tokens": [
{
"unsigned": "1jqwxb9bJOUUQLiNb7mxXS1uBJsEXh0B9nj05BqnPsE=",
"signed": "eiw3fZeCKIY50C4zPeg9Rt90M1Qlq3WlJh6Yw7xXm4nF6e9ETLE39+9M+rUqDWMRZjaBfaMbg5d9yDkz5p13U7ch2tlF9LoYabsWutkT014KRq/rcYMvFsU9n/Ey/TK0PVaxLN42X+pebV4juwMhN4mK4CzdFAJgM+UGBOj4yB9recpOBB9K8QFSpJZALSEdDgUc/mS1eDq3rU0int6+4NKuLQjpR+LSEIWRZ6g6+MND2vXGskxHjadCQ09L7Tz8VcWjKDbxJcBiGKvkqyozl9zrGo8fA3WHBmwiAgS61Merx77ZGY4PFR37+j/YMSC14prCN15DtMRv2xA1SGSb4w=="
},
{
"unsigned": "LMMFc34ASPnvNPFzBbMbr9FProS/Zu2P8zF/xzk5hVQ=",
"signed": "HBImKnHmw+6R2TpFEpfiAg4+hu2pFNwn43ClhKPkn2higbEhUD0JVi+4MerSyvU/NN79iWVxDvJ9Ito+jpiRQjTfTGEoIteyuAr1v/Bzh+HjmrO53OQpZaJ/VXGIgApD0myuu/ZGNKQTCSkkL7+V81FG7yR1Nm22jUeGa735zvm/E+cenvZdy0VVx6A7WeWrl3JEKKBweHbi+7BwbaW+PTdCuIRd4Ug76Sy+cFhsvcG1k7cMwDh8MgXzIZ2m1f/hdy2j8qAxORTLlmwyUOYvPYOvUhc+s83hx36QpGwGcD7RA0bPT5OrTx7PHd0N1CL+Wwy91We8yIOFBS6nxo1R7w=="
},
{
"unsigned": "dzeHbwhiVXQqcUGj563z51/7sLUdxjL93SbOUyZRjH8=",
"signed": "VgQPvrTsvGljVBFxHnswduq16x8ZrnxfcYVYGf/N7gEzI4At3GDs2EVZWTRdvS0uGHdkFYp1apHgJZ7PDVmGcTkIXVD2lFYppcgNlSzkYlftr5EOjqS9ZjYEqgGuB4g//MxaBaRbJai/6BlcE92NIdBusTtreIm3yTpjIXNAVoeRSnkfuw7wZcL96QoklNb1WUuSHw+psUyeIVtIwFMHEfFoRC0t+VhmnlnFnkjGPb9W3Aprw2dRRvFM3R2ZTDvMCiOYDzUCd43GftGq2LfxH3qSD51oFHglHQVOY0jyVzzlAvub5HQdtOQdErIeO0/9dGx5yot07o3xaGl5yQRhwA=="
}
]
}
```
1. 現在,您的權杖文件已全部簽署,您可以繼續操作。輸入包含已簽署權杖的檔案名稱,然後按 Enter 鍵。最後,輸入您新公有金錀的路徑。現在,您會看到以下[用戶列表]()部分輸出的內容。
```
Enter signed token file path (press enter if same as the unsigned token file):
Enter public key PEM file path:officer1.pub
{
"error_code": 0,
"data": {
"username": "{{}}",
"role": "crypto-user"
}
}
```
現在,您已經使用 MFA 設定了您的使用者。
```
{
"username": "{{}}",
"role": "crypto-user",
"locked": "false",
"mfa": [
{
"strategy": "token-sign",
"status": "enabled"
}
],
"cluster-coverage": "full"
},
```
您已使用私有金錀簽署了產生的 JSON 格式的權杖文件檔案,並註冊了新的 MFA 公有金錀。