Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# HSM-Benutzerverwaltung mit CloudHSM Management Utility (CMU)
<a name="manage-hsm-users-cmu"></a>

 [Um Benutzer des Hardware Security Module (HSM) zu verwalten AWS CloudHSM, müssen Sie sich mit dem Benutzernamen und dem Passwort eines Cryptographic Officer (CO) beim HSM anmelden.](understanding-users-cmu.md#crypto-officer) COs Kann nur Benutzer verwalten. Das HSM enthält einen Standard-CO mit dem Namen admin. Sie haben das Passwort für admin festgelegt, wenn Sie das [Cluster aktiviert haben](activate-cluster.md). 

Dieses Thema enthält step-by-step Anleitungen und Einzelheiten zur Verwaltung von HSM-Benutzern mit dem AWS CloudHSM Management Utility (CMU). 

**Topics**
+ [Voraussetzungen](understand-users.md)
+ [Benutzertypen](understanding-users-cmu.md)
+ [Tabelle mit den Berechtigungen](user-permissions-table-cmu.md)
+ [Benutzer erstellen](create-users-cmu.md)
+ [Auflisten aller Benutzer](list-users.md)
+ [Passwörter ändern](change-user-password-cmu.md)
+ [Löschen von Benutzern](delete-user.md)
+ [2FA für Benutzer verwalten](manage-2fa.md)
+ [Verwendung von CMU zur Verwaltung der Quorum-Authentifizierung](quorum-authentication.md)

# Voraussetzungen für die Benutzerverwaltung in Management Utility AWS CloudHSM
<a name="understand-users"></a>

Bevor Sie das AWS CloudHSM Management Utility (CMU) zur Verwaltung von Benutzern des Hardware Security Module (HSM) verwenden können AWS CloudHSM, müssen Sie diese Voraussetzungen erfüllen. In den folgenden Themen werden die ersten Schritte mit der CMU beschrieben.

**Topics**
+ [Rufen Sie die IP-Adresse eines HSM ab in AWS CloudHSM](#user-cmu-prereq-ip)
+ [Verwenden von CMU mit Client-SDK 3.2.1 und früher](#downlevel-cmu)
+ [Laden Sie das CloudHSM Management Utility herunter](#get-cli-users-cmu)

## Rufen Sie die IP-Adresse eines HSM ab in AWS CloudHSM
<a name="user-cmu-prereq-ip"></a>

 Um CMU verwenden zu können, müssen Sie das Configure-Tool verwenden, um die lokale Konfiguration zu aktualisieren. Die CMU stellt eine eigene Verbindung zum Cluster her, und diese Verbindung ist *nicht* clusterfähig. Um Clusterinformationen nachzuverfolgen, verwaltet die CMU eine lokale Konfigurationsdatei. Das bedeutet, dass Sie bei *jeder* Verwendung der CMU zunächst die Konfigurationsdatei aktualisieren sollten, indem Sie das Befehlszeilentool [configure](configure-tool.md) mit dem `--cmu`-Parameter ausführen. Wenn Sie das Client-SDK 3.2.1 oder früher verwenden, müssen Sie einen anderen Parameter als `--cmu` verwenden. Weitere Informationen finden Sie unter [Verwenden von CMU mit Client-SDK 3.2.1 und früher](#downlevel-cmu). 

 Für den `--cmu`-Parameter müssen Sie die IP-Adresse eines HSM in Ihrem Cluster hinzufügen. Wenn Sie mehrere haben HSMs, können Sie eine beliebige IP-Adresse verwenden. Dadurch wird sichergestellt, dass die CMU alle von Ihnen vorgenommenen Änderungen auf den gesamten Cluster übertragen kann. Denken Sie daran, dass die CMU ihre lokale Datei verwendet, um Clusterinformationen zu verfolgen. Wenn sich der Cluster seit der letzten Verwendung der CMU von einem bestimmten Host aus geändert hat, müssen Sie diese Änderungen der lokalen Konfigurationsdatei hinzufügen, die auf diesem Host gespeichert ist. Fügen Sie niemals ein HSM hinzu oder entfernen Sie es, während Sie CMU verwenden. 

**Um eine IP-Adresse für ein HSM (Konsole) zu erhalten**

1. Öffnen Sie die AWS CloudHSM Konsole zu [https://console.aws.amazon.com/cloudhsm/Hause](https://console.aws.amazon.com/cloudhsm/home).

1. Um die AWS-Region zu ändern, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Um die Cluster-Detailseite zu öffnen, wählen Sie in der Cluster-Tabelle die Cluster-ID aus.

1. Um die IP-Adresse zu erhalten, gehen Sie zur HSMs Registerkarte. Wählen Sie für IPv4 Cluster eine Adresse aus, die unter ** IPv4 ENI-Adresse** aufgeführt ist. Verwenden Sie für Dual-Stack-Cluster entweder die ENI IPv4 - oder die ** IPv6 ENI-Adresse**. 

**Um eine IP-Adresse für ein HSM zu erhalten ()AWS CLI**
+ Rufen Sie die IP-Adresse eines HSM ab, indem Sie den **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** Befehl von der AWS CLI verwenden. In der Ausgabe des Befehls entspricht die IP-Adresse von den Werten von `EniIp` und `EniIpV6` (falls es HSMs sich um einen Dual-Stack-Cluster handelt). 

  ```
  $ aws cloudhsmv2 describe-clusters
  {
      "Clusters": [
          { ... }
              "Hsms": [
                  {
  ...
                      "EniIp": "10.0.0.9",
  ...
                  },
                  {
  ...
                      "EniIp": "10.0.1.6",
                      "EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733",
  ...
  ```

## Verwenden von CMU mit Client-SDK 3.2.1 und früher
<a name="downlevel-cmu"></a>

Mit Client SDK 3.3.0 AWS CloudHSM wurde Unterstützung für den `--cmu` Parameter hinzugefügt, was die Aktualisierung der Konfigurationsdatei für die CMU vereinfacht. Wenn Sie eine CMU-Version von Client-SDK 3.2.1 oder früher verwenden, müssen Sie weiterhin die Parameter `-a` und `-m` verwenden, um die Konfigurationsdatei zu aktualisieren. Weitere Informationen zu diesen Parametern finden Sie unter [Configure-Tool](configure-tool.md).

## Laden Sie das CloudHSM Management Utility herunter
<a name="get-cli-users-cmu"></a>

Die neueste Version von CMU ist für HSM-Benutzerverwaltungsaufgaben verfügbar, unabhängig davon, ob Sie Client-SDK 5 und Client-SDK 3 verwenden. 

**So laden Sie CMU herunter und installieren es**
+ Laden Sie jq herunter und installieren Sie sie.

------
#### [ Amazon Linux ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL6/cloudhsm-mgmt-util-latest.el6.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el6.x86_64.rpm
  ```

------
#### [ Amazon Linux 2 ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

------
#### [ CentOS 7.8\$1 ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

------
#### [ CentOS 8.3\$1 ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
  ```

------
#### [ RHEL 7 (7.8\$1) ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

------
#### [ RHEL 8 (8.3\$1) ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
  ```

------
#### [ Ubuntu 16.04 LTS ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Xenial/cloudhsm-mgmt-util_latest_amd64.deb
  ```

  ```
  $ sudo apt install ./cloudhsm-mgmt-util_latest_amd64.deb
  ```

------
#### [ Ubuntu 18.04 LTS ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Bionic/cloudhsm-mgmt-util_latest_u18.04_amd64.deb
  ```

  ```
  $ sudo apt install ./cloudhsm-mgmt-util_latest_u18.04_amd64.deb
  ```

------
#### [ Windows Server 2012 ]

  1. Laden Sie das [CloudHSM Management Utility](https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMManagementUtil-latest.msi) herunter

  1. Führen Sie das CMU-Installationsprogramm (**AWSCloudHSMManagementUtil-latest.msi**) mit Windows-Administratorrechten aus.

------
#### [ Windows Server 2012 R2 ]

  1. Laden Sie das [CloudHSM Management Utility](https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMManagementUtil-latest.msi) herunter

  1. Führen Sie das CMU-Installationsprogramm (**AWSCloudHSMManagementUtil-latest.msi**) mit Windows-Administratorrechten aus.

------
#### [ Windows Server 2016 ]

  1. Laden Sie das [CloudHSM Management Utility](https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMManagementUtil-latest.msi) herunter

  1. Führen Sie das CMU-Installationsprogramm (**AWSCloudHSMManagementUtil-latest.msi**) mit Windows-Administratorrechten aus.

------

# HSM-Benutzertypen für Management Utility AWS CloudHSM
<a name="understanding-users-cmu"></a>

 Für die meisten Operationen, die Sie auf dem Hardware Security Module (HSM) ausführen, sind die Anmeldeinformationen eines AWS CloudHSM *HSM-Benutzers* erforderlich. Das HSM authentifiziert jeden HSM-Benutzer, und jeder HSM-Benutzer hat einen *Typ*, der bestimmt, welche Operationen Sie als dieser Benutzer auf dem HSM ausführen können. 

**Anmerkung**  
HSM-Benutzer unterscheiden sich von IAM-Benutzern. IAM-Benutzer, die über die richtigen Anmeldeinformationen verfügen, können HSMs durch Interaktion mit Ressourcen über die AWS-API etwas erstellen. Nachdem das HSM erstellt wurde, müssen Sie HSM-Benutzeranmeldedaten verwenden, um Vorgänge auf dem HSM zu authentifizieren.

**Topics**
+ [Precrypto Officer (PRECO)](#preco)
+ [Crypto Officer (CO)](#crypto-officer)
+ [Crypto-Benutzer (Crypto User, CU)](#crypto-user-cmu)
+ [Appliance-Benutzer (Appliance User, AU)](#appliance-user-cmu)

## Precrypto Officer (PRECO)
<a name="preco"></a>

Sowohl im Cloud Management Utility (CMU) als auch im Key Management Utility (KMU) ist PRECO ein temporärer Benutzer, der nur auf dem ersten HSM in einem AWS CloudHSM -Cluster existiert. Das erste HSM in einem neuen Cluster enthält einen PRECO-Benutzer, der angibt, dass dieser Cluster noch nie aktiviert wurde. Um [einen Cluster zu aktivieren](activate-cluster.md), führen Sie die cloudhsm-cli aus und führen den Befehl aus. **cluster activate** Melden Sie sich beim HSM an und ändern Sie das PRECO-Passwort. Wenn Sie das Passwort ändern, wird dieser Benutzer zum Crypto Officer (CO). 

## Crypto Officer (CO)
<a name="crypto-officer"></a>

Sowohl im Cloud Management Utility (CMU) als auch im Key Management Utility (KMU) kann ein Crypto Officer (CO) Benutzerverwaltungsvorgänge durchführen. Beispielsweise können Sie Benutzer erstellen und löschen und Benutzerpasswörter ändern. Weitere Informationen über CO-Benutzer finden Sie unter [Tabelle mit HSM-Benutzerberechtigungen für Management Utility AWS CloudHSM](user-permissions-table-cmu.md). Wenn Sie einen neuen Cluster aktivieren, wechselt der Benutzer von einem [Precrypto Officer (PRECO](#preco)) zu einem Crypto Officer (CO). 

## Crypto-Benutzer (Crypto User, CU)
<a name="crypto-user-cmu"></a>

Ein Crypto-Benutzer (CU) kann die folgenden Schlüsselverwaltungs- und kryptografischen Vorgänge ausführen.
+ **Schlüsselverwaltung** – Erstellen, Löschen, Freigeben, Importieren und Exportieren von kryptographischen Schlüsseln.
+ **Kryptografische Operationen** – Verwenden Sie kryptographische Schlüssel für die Verschlüsselung, Entschlüsselung, Signatur, Verifizierung und mehr.

Weitere Informationen hierzu finden Sie unter [Tabelle mit HSM-Benutzerberechtigungen für Management Utility AWS CloudHSM](user-permissions-table-cmu.md).

## Appliance-Benutzer (Appliance User, AU)
<a name="appliance-user-cmu"></a>

Der Appliance-Benutzer (AU) kann Kloning- und Synchronisierungsvorgänge auf Ihrem Cluster durchführen. HSMs AWS CloudHSM verwendet die AU, um die HSMs in einem AWS CloudHSM Cluster zu synchronisieren. Die AU ist auf allen Geräten vorhanden, die von HSMs bereitgestellt werden AWS CloudHSM, und verfügt über eingeschränkte Berechtigungen. Weitere Informationen hierzu finden Sie unter [Tabelle mit HSM-Benutzerberechtigungen für Management Utility AWS CloudHSM](user-permissions-table-cmu.md).

AWS kann keine Operationen an Ihrem ausführen HSMs . AWS kann Ihre Benutzer oder Schlüssel nicht anzeigen oder ändern und mit diesen Schlüsseln keine kryptografischen Operationen ausführen.

# Tabelle mit HSM-Benutzerberechtigungen für Management Utility AWS CloudHSM
<a name="user-permissions-table-cmu"></a>

In der folgenden Tabelle sind die Operationen des Hardware-Sicherheitsmoduls (HSM) aufgeführt, sortiert nach dem Typ des HSM-Benutzers oder der HSM-Sitzung, in der der Vorgang ausgeführt werden kann. AWS CloudHSM


|  | Crypto Officer (CO) | Crypto-Benutzer (Crypto User, CU) | Appliance-Benutzer (Appliance User, AU) | Nicht authentifizierte Sitzungen | 
| --- | --- | --- | --- | --- | 
| Grundlegende Cluster-Informationen erhalten¹ | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | 
| Das eigene Passwort ändern | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | Nicht zutreffend | 
| Das Passwort eines Benutzers ändern | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | 
| Benutzer hinzufügen oder entfernen | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | 
| Den Synchronisierungsstatus erhalten² | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | 
| Maskierte Objekte extrahieren und einfügen³ | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | 
| Funktionen zur Schlüsselverwaltung⁴ | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | 
| Verschlüsseln/Entschlüsseln | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | 
| Signieren/Überprüfen | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | 
| Generieren Sie Digests und HMACs | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | ![\[Yes\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-yes.png) Ja | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | ![\[No\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/icon-no.png) Nein | 
+  [1] Zu den grundlegenden Clusterinformationen gehören die Anzahl der HSMs Mitglieder im Cluster und die IP-Adresse, das Modell, die Seriennummer, die Geräte-ID, die Firmware-ID usw. jedes HSM. 
+  [2] Der Benutzer kann verschiedene Digests (Hashes) erhalten, die den Schlüsseln auf dem HSM entsprechen. Eine Anwendung kann diese Gruppen von Digests vergleichen, um den Synchronisationsstatus innerhalb eines HSMs Clusters zu ermitteln. 
+  [3] Maskierte Objekte sind Schlüssel, die verschlüsselt werden, bevor sie das HSM verlassen. Sie können außerhalb des HSM nicht entschlüsselt werden. Sie werden erst entschlüsselt, nachdem sie in ein HSM eingefügt wurden, das sich in demselben Cluster befindet wie das HSM, aus dem sie extrahiert wurden. Eine Anwendung kann maskierte Objekte extrahieren und einfügen, um sie HSMs in einem Cluster zu synchronisieren. 
+  [4] Die Funktionen zur Schlüsselverwaltung umfassen unter anderem das Erstellen, Löschen, Verpacken, Entpacken und Ändern der Schlüsselattribute. 

# Erstellen Sie HSM-Benutzer mit dem Management Utility AWS CloudHSM
<a name="create-users-cmu"></a>

Verwenden Sie **createUser** im AWS CloudHSM Management Utility (CMU), um neue Benutzer auf dem Hardware Security Module (HSM) zu erstellen. Sie müssen sich als CO anmelden, um einen Benutzer zu erstellen.

**Um einen neuen CO-Benutzer zu erstellen**

1. Verwenden Sie das Configure-Tool, um die CMU-Konfiguration zu aktualisieren.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Starten von CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1. Melden Sie sich beim HSM als CO-Benutzer an.

   ```
   aws-cloudhsm > loginHSM CO admin co12345
   ```

   Stellen Sie sicher, dass die Anzahl der Verbindungen, die die CMU auflistet, mit der Anzahl der Verbindungen HSMs im Cluster übereinstimmt. Wenn nicht, melden Sie sich ab und beginnen Sie von vorne.

1. Verwenden Sie **createUser**, um einen CO-Benutzer namens **example\$1officer** mit dem Passwort **password1** zu erstellen.

   ```
   aws-cloudhsm > createUser CO example_officer password1
   ```

   Die CMU fordert Sie auf, den Vorgang zum Erstellen eines Benutzers auszuführen.

   ```
   *************************CAUTION********************************
   This is a CRITICAL operation, should be done on all nodes in the
   cluster. AWS does NOT synchronize these changes automatically with the
   nodes on which this operation is not executed or failed, please
   ensure this operation is executed on all nodes in the cluster.
   ****************************************************************
   
   Do you want to continue(y/n)?
   ```

1. Geben Sie **y** ein.

**Um einen neuen CU-Benutzer zu erstellen**

1. Verwenden Sie das Configure-Tool, um die CMU-Konfiguration zu aktualisieren.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Starten von CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1. Melden Sie sich beim HSM als CO-Benutzer an.

   ```
   aws-cloudhsm > loginHSM CO admin co12345
   ```

   Stellen Sie sicher, dass die Anzahl der Verbindungen, die in den CMU-Listen aufgeführt sind, mit der Anzahl der Verbindungen HSMs im Cluster übereinstimmt. Wenn nicht, melden Sie sich ab und beginnen Sie von vorne.

1. Verwenden Sie **createUser**, um einen CU-Benutzer namens **example\$1user** mit dem Passwort **password1** zu erstellen.

   ```
   aws-cloudhsm > createUser CU example_user password1
   ```

   Die CMU fordert Sie auf, den Vorgang zum Erstellen eines Benutzers auszuführen.

   ```
   *************************CAUTION********************************
   This is a CRITICAL operation, should be done on all nodes in the
   cluster. AWS does NOT synchronize these changes automatically with the
   nodes on which this operation is not executed or failed, please
   ensure this operation is executed on all nodes in the cluster.
   ****************************************************************
   
   Do you want to continue(y/n)?
   ```

1. Geben Sie **y** ein.

Für weitere Informationen über **createUser** finden Sie unter [createUser](cloudhsm_mgmt_util-createUser.md).

# Führen Sie mithilfe AWS CloudHSM des Management Utility alle HSM-Benutzer im Cluster auf
<a name="list-users"></a>

 Verwenden Sie den **listUsers** Befehl im AWS CloudHSM Management Utility (CMU), um alle Benutzer im AWS CloudHSM Cluster aufzulisten. Sie müssen sich nicht anmelden, um **listUsers** auszuführen, und alle Benutzertypen können Benutzer auflisten. 

**Um alle Benutzer im Cluster aufzulisten**

1. Verwenden Sie das Configure-Tool, um die CMU-Konfiguration zu aktualisieren.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Starten von CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1.  Verwenden Sie **listUsers**, um alle Benutzer im Cluster aufzulisten. 

   ```
   aws-cloudhsm > listUsers
   ```

   CMU listet alle Benutzer des Clusters auf.

   ```
   Users on server 0(10.0.2.9):
   Number of users found:4
   
       User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
            1              AU              app_user                                 NO               0               NO
            2              CO              example_officer                          NO               0               NO
            3              CU              example_user                             NO               0               NO
   Users on server 1(10.0.3.11):
   Number of users found:4
   
       User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
            1              AU              app_user                                 NO               0               NO
            2              CO              example_officer                          NO               0               NO
            3              CU              example_user                             NO               0               NO
   Users on server 2(10.0.1.12):
   Number of users found:4
   
       User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
            1              AU              app_user                                 NO               0               NO
            2              CO              example_officer                          NO               0               NO
            3              CU              example_user                             NO               0               NO
   ```

Für weitere Informationen über **listUsers** finden Sie in der [listUsers](cloudhsm_mgmt_util-listUsers.md).

# Ändern Sie HSM-Benutzerkennwörter mit AWS CloudHSM der Management Utility
<a name="change-user-password-cmu"></a>

 Verwenden Sie es **changePswd** in der AWS CloudHSM Management Utility (CMU), um das Passwort eines HSM-Benutzers (Hardware Security Module) zu ändern. 

 Bei Benutzertypen und Passwörtern wird zwischen Groß- und Kleinschreibung unterschieden, bei Benutzernamen jedoch nicht.

 CO, Crypto-Benutzer (CU) und Appliance-Benutzer (AU) können ihr eigenes Passwort ändern. Um das Passwort eines anderen Benutzers zu ändern, müssen Sie sich als CO anmelden. Sie können das Passwort eines Benutzers, der gerade angemeldet ist, nicht ändern. 

**So ändern Sie Ihr eigenes Passwort**

1. Verwenden Sie das Configure-Tool, um die CMU-Konfiguration zu aktualisieren.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Starten von CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1. Anmelden beim HSM.

   ```
   aws-cloudhsm > loginHSM CO admin co12345
   ```

   Stellen Sie sicher, dass die Anzahl der Verbindungen, die in den CMU-Listen aufgeführt sind, mit der Anzahl der Verbindungen HSMs im Cluster übereinstimmt. Wenn nicht, melden Sie sich ab und beginnen Sie von vorne.

1. Mit **changePswd** können Sie Ihr eigenes Passwort ändern. 

   ```
   aws-cloudhsm > changePswd CO example_officer <new password>
   ```

   Die CMU informiert Sie über den Vorgang zum Ändern des Passworts.

   ```
   *************************CAUTION********************************
   This is a CRITICAL operation, should be done on all nodes in the
   cluster. AWS does NOT synchronize these changes automatically with the
   nodes on which this operation is not executed or failed, please
   ensure this operation is executed on all nodes in the cluster.
   ****************************************************************
   
   Do you want to continue(y/n)?
   ```

1. Geben Sie **y** ein.

   Die CMU informiert Sie über den Vorgang zum Ändern des Passworts.

   ```
   Changing password for example_officer(CO) on 3 nodes
   ```

**So ändern Sie das Passwort eines anderen Benutzers**

1. Verwenden Sie das Configure-Tool, um die CMU-Konfiguration zu aktualisieren.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Starten von CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1. Melden Sie sich beim HSM als CO-Benutzer an.

   ```
   aws-cloudhsm > loginHSM CO admin co12345
   ```

   Stellen Sie sicher, dass die Anzahl der Verbindungen, die in den CMU-Listen aufgeführt sind, mit der Anzahl der Verbindungen HSMs im Cluster übereinstimmt. Wenn nicht, melden Sie sich ab und beginnen Sie von vorne.

1.  Verwenden Sie **changePswd**, um das Passwort eines anderen Benutzers zu ändern. 

   ```
   aws-cloudhsm > changePswd CU example_user <new password>
   ```

   Die CMU informiert Sie über den Vorgang zum Ändern des Passworts.

   ```
   *************************CAUTION********************************
   This is a CRITICAL operation, should be done on all nodes in the
   cluster. AWS does NOT synchronize these changes automatically with the
   nodes on which this operation is not executed or failed, please
   ensure this operation is executed on all nodes in the cluster.
   ****************************************************************
   
   Do you want to continue(y/n)?
   ```

1. Geben Sie **y** ein.

   Die CMU informiert Sie über den Vorgang zum Ändern des Passworts.

   ```
   Changing password for example_user(CU) on 3 nodes
   ```

Für weitere Informationen über **changePswd** finden Sie unter [changePswd](cloudhsm_mgmt_util-changePswd.md).

# Löschen Sie HSM-Benutzer mithilfe des Management Utility AWS CloudHSM
<a name="delete-user"></a>

Verwenden Sie es **deleteUser** in der AWS CloudHSM Management Utility (CMU), um einen Benutzer des Hardware Security Module (HSM) zu löschen. Sie müssen sich als CO anmelden, um einen anderen Benutzer zu löschen.

**Tipp**  
 Sie können keine Crypto-Benutzer (CU) löschen, die Schlüssel besitzen. 

**So löschen Sie einen Benutzer**

1. Verwenden Sie das Configure-Tool, um die CMU-Konfiguration zu aktualisieren.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Starten von CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1. Melden Sie sich beim HSM als CO-Benutzer an.

   ```
   aws-cloudhsm > loginHSM CO admin co12345
   ```

   Stellen Sie sicher, dass die Anzahl der Verbindungen, die die CMU auflistet, mit der Anzahl der Verbindungen HSMs im Cluster übereinstimmt. Wenn nicht, melden Sie sich ab und beginnen Sie von vorne.

1.  Verwenden Sie **deleteUser**, um einen Benutzer zu löschen. 

   ```
   aws-cloudhsm > deleteUser CO example_officer
   ```

   CMU löscht den Benutzer.

   ```
   Deleting user example_officer(CO) on 3 nodes
   deleteUser success on server 0(10.0.2.9)
   deleteUser success on server 1(10.0.3.11)
   deleteUser success on server 2(10.0.1.12)
   ```

Für weitere Informationen über **deleteUser** finden Sie unter [deleteUser](cloudhsm_mgmt_util-deleteUser.md).

# 2FA für Benutzer mit dem AWS CloudHSM Management Utility verwalten
<a name="manage-2fa"></a>

Um die Sicherheit zu erhöhen, können Sie die Zwei-Faktor-Authentifizierung (2FA) konfigurieren, um den Cluster zu schützen. AWS CloudHSM Sie können 2FA nur für Crypto Officers (CO) aktivieren. 

Wenn Sie sich mit einem 2FA-fähigen HSM-Konto (Hardware Service Module) bei einem Cluster anmelden, geben Sie cloudhsm\$1mgmt\$1util (CMU) Ihr Passwort – den ersten Faktor, was Sie wissen – und CMU stellt Ihnen ein Token zur Verfügung und fordert Sie auf, das Token signieren zu lassen. Um den zweiten Faktor bereitzustellen – was Sie haben – signieren Sie das Token mit einem privaten Schlüssel aus einem Schlüsselpaar, das Sie bereits erstellt und dem HSM-Benutzer zugeordnet haben. Um auf den Cluster zuzugreifen, stellen Sie der CMU das signierte Token zur Verfügung.

**Anmerkung**  
Sie können 2FA nicht für Crypto-Benutzer (CU) oder Anwendungen aktivieren. Die Zwei-Faktor-Authentifizierung (2FA) ist nur für CO-Benutzer verfügbar.

**Topics**
+ [Quorum-Authentifizierung](quorum-2fa.md)
+ [Anforderungen an das Schlüsselpaar](enable-2fa-kms.md)
+ [Benutzer erstellen](create-2fa.md)
+ [2FA für Benutzer verwalten](rotate-2fa.md)
+ [Deaktivieren Sie 2FA](disable-2fa.md)
+ [Konfigurationsreferenz](reference-2fa.md)

# Quorum-Authentifizierung und 2FA in AWS CloudHSM Clustern mithilfe des Management Utility AWS CloudHSM
<a name="quorum-2fa"></a>

Der Cluster verwendet denselben Schlüssel für die Quorum-Authentifizierung und für die Zwei-Faktor-Authentifizierung (2FA). Das bedeutet, dass ein Benutzer mit aktivierter 2FA effektiv für M-of-N-access -Control (MoFN) registriert ist. Beachten Sie die folgenden Punkte, um 2FA und die Quorum-Authentifizierung erfolgreich für denselben HSM-Benutzer zu verwenden:
+ Wenn Sie heute die Quorum-Authentifizierung für einen Benutzer verwenden, sollten Sie dasselbe Schlüsselpaar verwenden, das Sie für den Quorum-Benutzer erstellt haben, um 2FA für den Benutzer zu aktivieren. 
+ Wenn Sie die 2FA-Anforderung für einen Nicht-2FA-Benutzer hinzufügen, der kein Quorum-Authentifizierungsbenutzer ist, registrieren Sie diesen Benutzer als MoFN-Benutzer mit 2FA-Authentifizierung.
+ Wenn Sie die 2FA-Anforderung entfernen oder das Passwort für einen 2FA-Benutzer ändern, der auch ein Quorum-Authentifizierungsbenutzer ist, entfernen Sie auch die Registrierung des Quorumbenutzers als MoFN-Benutzer.
+ Wenn Sie die 2FA-Anforderung aufheben oder das Passwort für einen 2FA-Benutzer ändern, der auch ein Quorum-Authentifizierungsbenutzer ist, Sie aber *trotzdem möchten, dass dieser Benutzer an der Quorumauthentifizierung teilnimmt*, müssen Sie diesen Benutzer erneut als MoFN-Benutzer registrieren.

Weitere Informationen über die Quorum-Authentifizierung finden Sie unter [Verwendung von CMU zur Verwaltung der Quorum-Authentifizierung](quorum-authentication.md).

# 2FA-Schlüsselpaar-Anforderungen für die AWS CloudHSM Verwendung von AWS CloudHSM Management Utility
<a name="enable-2fa-kms"></a>

Um die Zwei-Faktor-Authentifizierung (2FA) für einen Benutzer eines AWS CloudHSM Hardware-Sicherheitsmoduls (HSM) zu aktivieren, verwenden Sie einen Schlüssel, der die folgenden Anforderungen erfüllt. 

Sie können ein neues Schlüsselpaar erstellen oder einen vorhandenen Schlüssel verwenden, der die folgenden Anforderungen erfüllt. 
+ Schlüsseltyp: Asymmetrisch
+ Schlüsselnutzung: Signieren und Verifizieren
+ Schlüsselspezifikation: RSA\$12048
+ Der Signierungsalgorithmus umfasst: 
  + `sha256WithRSAEncryption`

**Anmerkung**  
Wenn Sie die Quorumauthentifizierung verwenden oder planen, die Quorumauthentifizierung zu verwenden, finden Sie weitere Informationen unter [Quorum-Authentifizierung und 2FA in AWS CloudHSM Clustern mithilfe des Management Utility AWS CloudHSM](quorum-2fa.md).

# Erstellen Sie Benutzer mit aktivierter 2FA für Benutzer der Management Utility AWS CloudHSM
<a name="create-2fa"></a>

Verwenden Sie das AWS CloudHSM Management Utility CMU (CMU) und das key pair, um einen neuen Crypto Office (CO) -Benutzer mit aktivierter Zwei-Faktor-Authentifizierung (2FA) zu erstellen.

**Um CO-Benutzer mit aktivierter 2FA zu erstellen**

1. Führen Sie an einem Terminal die folgenden Schritte aus:

   1. Greifen Sie auf Ihr HSM zu und melden Sie sich beim CloudHSM Management Utility an:

      ```
      /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
      ```

   1. Melden Sie sich als CO an und erstellen Sie mit dem folgenden Befehl eine neue Benutzer-MFA mit 2FA:

      ```
      aws-cloudhsm > createUser CO MFA <CO USER PASSWORD> -2fa /home/ec2-user/authdata
      *************************CAUTION********************************
      This is a CRITICAL operation, should be done on all nodes in the
      cluster. AWS does NOT synchronize these changes automatically with the 
      nodes on which this operation is not executed or failed, please 
      ensure this operation is executed on all nodes in the cluster.  
      ****************************************************************
      
      Do you want to continue(y/n)? y
      
      Creating User exampleuser3(CO) on 1 nodesAuthentication data written to: "/home/ec2-user/authdata"Generate Base64-encoded signatures for SHA256 digests in the authentication datafile. 
      To generate the signatures, use the RSA private key, which is the second factor ofauthentication for this user. Paste the signatures and the corresponding public keyinto the authentication data file and provide 
      the file path below.Leave this field blank to use the path initially provided.Enter filename:
      ```

   1. Belassen Sie das obige Terminal in diesem Zustand. Drücken Sie nicht die Eingabetaste und geben Sie keinen Dateinamen ein.

1. Führen Sie in einem anderen Terminal die folgenden Schritte aus:

   1. Greifen Sie auf Ihr HSM zu und melden Sie sich beim CloudHSM Management Utility an:

      ```
      /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
      ```

   1. Generieren Sie mit den folgenden Befehlen ein öffentlich-privates Schlüsselpaar:

      ```
      openssl genpkey -algorithm RSA -out private_key.pem -pkeyopt rsa_keygen_bits:2048
      ```

      ```
      openssl rsa -pubout -in private_key.pem -out public_key.pem
      ```

   1. Führen Sie den folgenden Befehl aus, um eine JSON-Abfragefunktion zum Extrahieren des Digest aus der Authdata-Datei zu installieren:

      ```
      sudo yum install jq
      ```

   1. Um den Digest-Wert zu extrahieren, suchen Sie zunächst die folgenden Daten in der Authdata-Datei:

      ```
      {
        "Version":"1.0",
        "PublicKey":"",
        "Data":[
          {
            "HsmId": <"HSM ID">,
            "Digest": <"DIGEST">,
            "Signature": ""
          }
        ]
      }
      ```
**Anmerkung**  
Der erhaltene Digest ist Base64-kodiert. Um den Digest zu signieren, muss die Datei jedoch zuerst dekodiert und dann signiert werden. Der folgende Befehl dekodiert den Digest und speichert den dekodierten Inhalt in „digest1.bin“.  

      ```
      cat authdata | jq '.Data[0].Digest' | cut -c2- | rev | cut -c2- | rev | base64 -d > digest1.bin
      ```

   1. Konvertiert den Inhalt des öffentlichen Schlüssels, fügt „\$1n“ hinzu und entfernt Leerzeichen, wie hier gezeigt:

      ```
      -----BEGIN PUBLIC KEY-----\n<PUBLIC KEY>\n-----END PUBLIC KEY----- 
      ```
**Wichtig**  
Der obige Befehl zeigt, wie „\$1n“ unmittelbar nach **BEGIN PUBLIC KEY-----** hinzugefügt wird, Leerzeichen zwischen „\$1n“ und dem ersten Zeichen des öffentlichen Schlüssels entfernt werden, „\$1n“ vor **-----END PUBLIC KEY** hinzugefügt wird und Leerzeichen zwischen „\$1n“ und dem Ende des öffentlichen Schlüssels entfernt werden.

      Dies ist das PEM-Format für den öffentlichen Schlüssel, das in der Authdata-Datei akzeptiert wird.

   1. Fügen Sie den Inhalt des öffentlichen Schlüssels im PEM-Format in den Abschnitt mit dem öffentlichen Schlüssel der Authdata-Datei ein.

      ```
      vi authdata
      ```

      ```
      {
        "Version":"1.0",
        "PublicKey":"-----BEGIN PUBLIC KEY-----\n<"PUBLIC KEY">\n-----END PUBLIC KEY-----",
        "Data":[    
          {      
            "HsmId":<"HSM ID">,
            "Digest":<"DIGEST">,      
            "Signature": ""   
          }  
        ]
      }
      ```

   1. Signieren Sie die Token-Datei mit dem folgenden Befehl:

      ```
      openssl pkeyutl -sign -in digest1.bin -inkey private_key.pem -pkeyopt digest:sha256 | base64
      Output Expected:
      <"THE SIGNATURE">
      ```
**Anmerkung**  
Verwenden Sie, wie im obigen Befehl gezeigt, **openssl pkeyutl** statt **openssl dgst** zum Signieren.

   1. Fügen Sie den signierten Digest in die Authdata-Datei im Feld „Signatur“ ein.

      ```
      vi authdata
      ```

      ```
      {
          "Version": "1.0",
          "PublicKey": "-----BEGIN PUBLIC KEY----- ... -----END PUBLIC KEY-----",
          "Data": [
              {
                  "HsmId": <"HSM ID">,
                  "Digest": <"DIGEST">,
                  "Signature": <"Kkdl ... rkrvJ6Q==">
              },
              {
                  "HsmId": <"HSM ID">,
                  "Digest": <"DIGEST">,
                  "Signature": <"K1hxy ... Q261Q==">
              }
          ]
      }
      ```

1. Gehen Sie zurück zum ersten Terminal und drücken Sie **Enter**:

   ```
   Generate Base64-encoded signatures for SHA256 digests in the authentication datafile. To generate the signatures, use the RSA private key, 
   which is the second factor ofauthentication for this user. Paste the signatures and the corresponding public keyinto the authentication data file and provide the file path below. Leave this field blank to use the path initially provided. 
   Enter filename: >>>>> Press Enter here
   
   createUser success on server 0(10.0.1.11)
   ```

# Verwalten Sie 2FA für HSM-Benutzer mit dem Management Utility AWS CloudHSM
<a name="rotate-2fa"></a>

Verwenden Sie es **changePswd** im AWS CloudHSM Management Utility (CMU), um die Zwei-Faktor-Authentifizierung (2FA) für einen Benutzer zu ändern. Jedes Mal, wenn Sie 2FA aktivieren, müssen Sie einen öffentlichen Schlüssel für 2FA-Logins angeben.

**changePswd**führt eines der folgenden Szenarien aus: 
+ Ändern Sie das Passwort für einen 2FA-Benutzer
+ Ändern Sie das Passwort für einen Nicht-2FA-Benutzer
+ 2FA zu einem Nicht-2FA-Benutzer hinzufügen
+ 2FA von einem 2FA-Benutzer entfernen
+ Den Schlüssel für einen 2FA-Benutzer rotieren

Sie können Aufgaben auch kombinieren. Sie können beispielsweise 2FA von einem Benutzer entfernen und gleichzeitig das Passwort ändern, oder Sie können den 2FA-Schlüssel wechseln und das Benutzerpasswort ändern.

**Um Passwörter zu ändern oder Schlüssel für CO-Benutzer mit aktivierter 2FA zu rotieren**

1. Verwenden Sie CMU, um sich als CO mit aktivierter 2FA am HSM anzumelden.

1.  Verwenden Sie **changePswd**, um das Passwort zu ändern oder den Schlüssel von CO-Benutzern mit aktivierter 2FA zu wechseln. Verwenden Sie den `-2fa`-Parameter und geben Sie einen Speicherort im Dateisystem an, an dem das System die `authdata`-Datei schreiben kann. Diese Datei enthält einen Digest für jedes HSM im Cluster.

   ```
   aws-cloudhsm > changePswd CO example-user <new-password> -2fa /path/to/authdata
   ```

   CMU fordert Sie auf, den privaten Schlüssel zu verwenden, um die Digests in der `authdata`-Datei zu signieren und die Signaturen mit dem öffentlichen Schlüssel zurückzugeben.

1. Verwenden Sie den privaten Schlüssel, um die Digests in der `authdata`-Datei zu signieren, fügen Sie die Signaturen und den öffentlichen Schlüssel zur `authdata`-Datei im JSON-Format hinzu und teilen Sie CMU dann den Speicherort der `authdata`-Datei mit. Weitere Informationen finden Sie unter [Konfigurationsreferenz für 2FA mit Management Utility AWS CloudHSM](reference-2fa.md).
**Anmerkung**  
Der Cluster verwendet denselben Schlüssel für die Quorum-Authentifizierung und für 2FA. Wenn Sie die Quorumauthentifizierung verwenden oder planen, die Quorumauthentifizierung zu verwenden, finden Sie weitere Informationen unter [Quorum-Authentifizierung und 2FA in AWS CloudHSM Clustern mithilfe des Management Utility AWS CloudHSM](quorum-2fa.md).

# Deaktivieren Sie 2FA für HSM-Benutzer mithilfe des Management Utility AWS CloudHSM
<a name="disable-2fa"></a>

Verwenden Sie das AWS CloudHSM Management Utility (CMU), um die Zwei-Faktor-Authentifizierung (2FA) für Benutzer des Hardware-Sicherheitsmoduls (HSM) in zu deaktivieren. AWS CloudHSM

**So deaktivieren Sie 2FA für CO-Benutzer mit aktivierter 2FA**

1. Verwenden Sie CMU, um sich als CO mit aktivierter 2FA am HSM anzumelden.

1.  Verwenden Sie **changePswd**, um 2FA von CO-Benutzern zu entfernen, bei denen 2FA aktiviert ist. 

   ```
   aws-cloudhsm > changePswd CO example-user <new password>
   ```

   CMU fordert Sie auf, den Vorgang zum Ändern des Passworts zu bestätigen.
**Anmerkung**  
Wenn Sie die 2FA-Anforderung entfernen oder das Passwort für einen 2FA-Benutzer ändern, der auch ein Quorum-Authentifizierungsbenutzer ist, entfernen Sie auch die Registrierung des Quorumbenutzers als MoFN-Benutzer. Weitere Informationen über Quorum-Benutzer und 2FA finden Sie unter [Quorum-Authentifizierung und 2FA in AWS CloudHSM Clustern mithilfe des Management Utility AWS CloudHSM](quorum-2fa.md).

1. Geben Sie **y** ein.

   Die CMU bestätigt den Vorgang zum Ändern des Passworts.

# Konfigurationsreferenz für 2FA mit Management Utility AWS CloudHSM
<a name="reference-2fa"></a>

Im Folgenden finden Sie ein Beispiel für die Eigenschaften der Zwei-Faktor-Authentifizierung (2FA) in der `authdata` Datei sowohl für die von der AWS CloudHSM Management Utility (CMU) generierte Anfrage als auch für Ihre Antworten. 

```
{
    "Version": "1.0",
    "PublicKey": "-----BEGIN PUBLIC KEY----- ... -----END PUBLIC KEY-----",
    "Data": [
        {
            "HsmId": "hsm-lgavqitns2a",
            "Digest": "k5O1p3f6foQRVQH7S8Rrjcau6h3TYqsSdr16A54+qG8=",
            "Signature": "Kkdl ... rkrvJ6Q=="
        },
        {
            "HsmId": "hsm-lgavqitns2a",
            "Digest": "IyBcx4I5Vyx1jztwvXinCBQd9lDx8oQe7iRrWjBAi1w=",
            "Signature": "K1hxy ... Q261Q=="
        }
    ]
}
```

**Daten**  
Oberster Knoten Enthält einen untergeordneten Knoten für jedes HSM im Cluster. Erscheint in Anfragen und Antworten für alle 2FA-Befehle.

**Digest**  
Dies müssen Sie unterschreiben, um den zweiten Authentifizierungsfaktor bereitzustellen. CMU wurde in Anfragen für alle 2FA-Befehle generiert.

**HsmId**  
Die ID Ihres HSM. Erscheint in Anfragen und Antworten für alle 2FA-Befehle.

**PublicKey**  
Der öffentliche Schlüsselteil des Schlüsselpaar, das Sie generiert haben, wurde als Zeichenfolge im PEM-Format eingefügt. Sie geben dies in Antworten für **createUser** und **changePswd** ein.

**Signature**  
Der mit Base 64 kodierte signierte Digest. Sie geben dies in Antworten für alle 2FA-Befehle ein.

**Version**  
Die Version der JSON-formatierten Datei mit den Authentifizierungsdaten Erscheint in Anfragen und Antworten für alle 2FA-Befehle.

# Verwendung von CloudHSM Management Utility (CMU) zur Verwaltung der Quorum-Authentifizierung (M-von-N-Zugriffskontrolle)
<a name="quorum-authentication"></a>

Die HSMs in Ihrem AWS CloudHSM Cluster unterstützen die Quorumauthentifizierung, die auch als M of N-Zugriffskontrolle bezeichnet wird. Mit der Quorum-Authentifizierung kann kein einzelner Benutzer im HSM quorum-kontrollierte Operationen im HSM durchführen. Stattdessen muss eine Mindestanzahl von HSM-Benutzern (mindestens 2) zusammenarbeiten, um diese Operationen durchzuführen. Mit der Quorum-Authentifizierung können Sie eine zusätzliche Schutzebene hinzufügen, indem Sie Genehmigungen von mehr als einem HSM-Benutzer erfordern.

Die Quorum-Authentifizierung kann die folgenden Vorgänge steuern:
+ HSM-Benutzerverwaltung durch [Crypto Officers (COs)](understanding-users-cmu.md#crypto-officer) — HSM-Benutzer erstellen und löschen und das Passwort eines anderen HSM-Benutzers ändern. Weitere Informationen finden Sie unter [Benutzerverwaltung mit aktivierter Quorum-Authentifizierung für AWS CloudHSM Management Utility](quorum-authentication-crypto-officers.md).

Beachten Sie die folgenden, zusätzlichen Informationen zur Verwendung der Quorum-Authentifizierung in AWS CloudHSM.
+ Ein HSM-Benutzer kann sein eigenes Quorum-Token signieren, d. h. der anfordernde Benutzer kann eine der erforderlichen Genehmigungen für die Quorum-Authentifizierung bereitstellen.
+ Sie wählen die Mindestzahl der Quorum-Genehmiger für die Quorum-kontrollierten Operationen aus. Die kleinste Zahl, die Sie wählen können, ist zwei (2), und die größte Zahl, die Sie wählen können, ist acht (8).
+ Das HSM kann bis zu 1024 Quorum-Token speichern. Wenn das HSM beim Versuch, ein neues zu erstellen, bereits 1024 Token hat, löscht das HSM eines der abgelaufenen Token. Standardmäßig verfallen Token zehn Minuten nach ihrer Erstellung.
+ Der Cluster verwendet denselben Schlüssel für die Quorum-Authentifizierung und für die Zwei-Faktor-Authentifizierung (2FA). [Weitere Informationen zur Verwendung von Quorum-Authentifizierung und 2FA finden Sie unter Quorum-Authentifizierung und 2FA.](quorum-2fa.md)

Die folgenden Themen stellen weitere Informationen zur Quorum-Authentifizierung in AWS CloudHSM zur Verfügung.

**Topics**
+ [Quorum-Authentifizierungsprozess](quorum-authentication-overview.md)
+ [Erstmalige Einrichtung](quorum-authentication-crypto-officers-first-time-setup.md)
+ [Benutzerverwaltung mit Quorum (M oder N)](quorum-authentication-crypto-officers.md)
+ [Ändern Sie den Mindestwert](quorum-authentication-crypto-officers-change-minimum-value.md)

# Quorum-Authentifizierungsprozess für Management Utility AWS CloudHSM
<a name="quorum-authentication-overview"></a>

Die folgenden Schritte fassen die Verfahren zur Quorum-Authentifizierung zusammen. Die exakten Schritte und Tools finden Sie unter [Benutzerverwaltung mit aktivierter Quorum-Authentifizierung für AWS CloudHSM Management Utility](quorum-authentication-crypto-officers.md).

1. Jeder HSM-Benutzer erstellt einen asymmetrischen Schlüssel zum Signieren. Er oder sie tut dies außerhalb des HSMs und achtet darauf, den Schlüssel angemessen zu schützen.

1. Jeder HSM-Benutzer meldet sich beim HSM an und registriert den öffentlichen Teil seines Signierungsschlüssels (den öffentlichen Schlüssel) beim HSM.

1. Wenn ein HSM-Benutzer eine Quorum-kontrollierte Operation durchführen möchte, meldet er sich beim HSM an und erhält ein *Quorum-Token*.

1. Der HSM-Benutzer gibt das Quorum-Token an einen oder mehrere andere HSM-Benutzer weiter und bittet um deren Zustimmung.

1. Die anderen HSM-Benutzer genehmigen, indem sie mit ihren Schlüsseln das Quorum-Token kryptographisch signieren. Dies geschieht außerhalb des HSMs.

1. Wenn der HSM-Benutzer über die erforderliche Anzahl von Genehmigungen verfügt, meldet er sich beim HSM an und gibt das Quorum-Token und die Genehmigungen (Signaturen) an das HSM weiter.

1. Das HSM verwendet die registrierten, öffentlichen Schlüssel jedes Unterzeichners, um die Signaturen zu verifizieren. Wenn die Signaturen gültig sind, genehmigt das HSM das Token.

1. Der HSM-Benutzer kann nun eine quorum-kontrollierte Operation durchführen.

# Richten Sie die Quorum-Authentifizierung für AWS CloudHSM Crypto Officers ein
<a name="quorum-authentication-crypto-officers-first-time-setup"></a>

In den folgenden Themen werden die Schritte beschrieben, die Sie ausführen müssen, um Ihr Hardware-Sicherheitsmodul (HSM) so zu konfigurieren, dass AWS CloudHSM [Crypto Officers (COs) die Quorum-Authentifizierung verwenden](understanding-users-cmu.md#crypto-officer) können. Sie müssen diese Schritte nur einmal ausführen, wenn Sie die Quorumauthentifizierung für zum ersten Mal konfigurieren. COs Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit [Benutzerverwaltung mit aktivierter Quorum-Authentifizierung für AWS CloudHSM Management Utility](quorum-authentication-crypto-officers.md) fort.

**Topics**
+ [Voraussetzungen](#quorum-crypto-officers-prerequisites)
+ [Schritt 1. Erstellen und Registrieren eines Schlüssels für das Signieren](#quorum-crypto-officers-create-and-register-key)
+ [Schritt 2. Setzten des Quorum-Mindestwerts für das HSM](#quorum-crypto-officers-set-quorum-minimum-value)

## Voraussetzungen
<a name="quorum-crypto-officers-prerequisites"></a>

Um dieses Beispiel zu verstehen, sollten Sie mit dem [cloudhsm\$1mgmt\$1util-Kommandozeilen-Tool (CMU)](cloudhsm_mgmt_util.md) vertraut sein. In diesem Beispiel hat der AWS CloudHSM Cluster zwei HSMs, von denen jeder dasselbe hat COs, wie in der folgenden Ausgabe des **listUsers** Befehls dargestellt. Weitere Informationen zum Erstellen von Benutzern finden Sie unter [HSM-Benutzer](manage-hsm-users.md).

```
aws-cloudhsm > listUsers
Users on server 0(10.0.2.14):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                 NO               0               NO
         4              CO              officer2                                 NO               0               NO
         5              CO              officer3                                 NO               0               NO
         6              CO              officer4                                 NO               0               NO
         7              CO              officer5                                 NO               0               NO
Users on server 1(10.0.1.4):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                 NO               0               NO
         4              CO              officer2                                 NO               0               NO
         5              CO              officer3                                 NO               0               NO
         6              CO              officer4                                 NO               0               NO
         7              CO              officer5                                 NO               0               NO
```

## Schritt 1. Erstellen und Registrieren eines Schlüssels für das Signieren
<a name="quorum-crypto-officers-create-and-register-key"></a>

Um die Quorumauthentifizierung zu verwenden, muss jeder CO *alle* der folgenden Schritte ausführen: 

**Topics**
+ [Erstellen eines RSA-Schlüsselpaares](#mofn-key-pair-create)
+ [Erstellen und signieren Sie ein Registrierungstoken](#mofn-registration-token)
+ [Registrieren Sie den öffentlichen Schlüssel beim HSM](#mofn-register-key)

### Erstellen eines RSA-Schlüsselpaares
<a name="mofn-key-pair-create"></a>

Es gibt viele verschiedene Möglichkeiten, ein Schlüsselpaar zu erstellen und zu schützen. In den folgenden Beispielen wird gezeigt, wie dies mit [OpenSSL](https://www.openssl.org/) durchgeführt wird.

**Example – Erstellen eines privaten Schlüssels mit OpenSSL**  
Im folgenden Beispiel wird gezeigt, wie OpenSSL verwendet wird, um einen 2048-Bit-RSA-Schlüssel zu erstellen, der durch eine Pass-Phrase geschützt ist. Um dieses Beispiel zu verwenden, *officer1.key* ersetzen Sie es durch den Namen der Datei, in der Sie den Schlüssel speichern möchten.  

```
$ openssl genrsa -out <officer1.key> -aes256 2048
        Generating RSA private key, 2048 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)
Enter pass phrase for officer1.key:
Verifying - Enter pass phrase for officer1.key:
```

Generieren eines öffentlichen Schlüssels mit dem privaten Schlüssel, den Sie gerade erstellt haben.

**Example – Erstellen Sie einen öffentlichen Schlüssel mit OpenSSL**  
Das folgende Beispiel zeigt, wie Sie OpenSSL verwenden, um einen öffentlichen Schlüssel aus dem privaten Schlüssel zu erstellen, den Sie gerade erstellt haben.   

```
$ openssl rsa -in officer1.key -outform PEM -pubout -out officer1.pub
Enter pass phrase for officer1.key:
writing RSA key
```

### Erstellen und signieren Sie ein Registrierungstoken
<a name="mofn-registration-token"></a>

 Sie erstellen ein Token und signieren es mit dem privaten Schlüssel, den Sie gerade im vorherigen Schritt generiert haben.

**Example – Erstellen Sie ein Token**  
Das Registrierungstoken ist nur eine Datei mit beliebigen zufälligen Daten, die die maximale Größe von 245 Byte nicht überschreiten. Sie signieren das Token mit dem privaten Schlüssel, um nachzuweisen, dass Sie Zugriff auf den privaten Schlüssel haben. Der folgende Befehl verwendet Echo, um eine Zeichenfolge in eine Datei umzuleiten.  

```
$ echo <token to be signed> > officer1.token
```

Signieren Sie das Token und speichern Sie es in einer Signaturdatei. Sie benötigen das signierte Token, das unsignierte Token und den öffentlichen Schlüssel, um den CO als MoFN-Benutzer beim HSM zu registrieren. 

**Example – Signieren Sie das Token**  
Verwenden Sie OpenSSL und den privaten Schlüssel, um das Registrierungstoken zu signieren und die Signaturdatei zu erstellen.  

```
$ openssl dgst -sha256 \
    -sign officer1.key \
    -out officer1.token.sig officer1.token
```

### Registrieren Sie den öffentlichen Schlüssel beim HSM
<a name="mofn-register-key"></a>

Nach dem Erstellen eines Schlüssels muss der CO den öffentlichen Teil des Schlüssels (den öffentlichen Schlüssel) beim HSM registrieren.

**So registrieren Sie einen öffentlichen Schlüssel bei dem HSM**

1. Starten Sie das Befehlszeilen-Toolcloudhsm\$1mgmt\$1util mit folgendem Befehl.

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

1. Verwenden Sie den Befehl **loginHSM**, um sich bei den HSMs als CO anzumelden. Weitere Informationen finden Sie unter [HSM-Benutzerverwaltung mit CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md).

1. Verwenden Sie den Befehl **[registerQuorumPubKey](cloudhsm_mgmt_util-registerQuorumPubKey.md)**, um den öffentlichen Schlüssel zu registrieren. Weitere Informationen finden Sie im folgenden Beispiel. Alternativ können Sie auch den Befehl **help registerQuorumPubKey** ausführen.

**Example – Registrieren eines öffentlichen Schlüssels beim HSM**  
Das folgende Beispiel zeigt, wie Sie mit dem Befehl **registerQuorumPubKey** im cloudhsm\$1mgmt\$1util-Befehlszeilen-Tool den öffentlichen Schlüssel eines COs beim HSM registrieren. Der CO muss bei dem HSM angemeldet sein, um diesen Befehl zu verwenden. Ersetzen Sie diese Werte durch Ihre eigenen Werte:  

```
aws-cloudhsm > registerQuorumPubKey CO <officer1> <officer1.token> <officer1.token.sig> <officer1.pub>
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
registerQuorumPubKey success on server 0(10.0.2.14)
```  
**<officer1.token>**  
Der Pfad zu einer Datei, die ein unsigniertes Registrierungstoken enthält. Kann beliebige Daten mit einer maximalen Dateigröße von 245 Byte enthalten.   
Erforderlich: Ja  
**<officer1.token.sig>**  
Der Pfad zu einer Datei, die den vom SHA256 \$1PKCS-Mechanismus signierten Hash des Registrierungstokens enthält.  
Erforderlich: Ja  
**<officer1.pub>**  
Der Pfad zu der Datei, die den öffentlichen Schlüssel eines asymmetrischen RSA-2048-Schlüsselpaars enthält. Verwenden Sie den privaten Schlüssel, um das Registrierungstoken zu signieren.   
Erforderlich: Ja
Nachdem alle ihre öffentlichen Schlüssel COs registriert haben, zeigt die Ausgabe des **listUsers** Befehls dies in der `MofnPubKey` Spalte an, wie im folgenden Beispiel gezeigt.  

```
aws-cloudhsm > listUsers
Users on server 0(10.0.2.14):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO
Users on server 1(10.0.1.4):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO
```

## Schritt 2. Setzten des Quorum-Mindestwerts für das HSM
<a name="quorum-crypto-officers-set-quorum-minimum-value"></a>

*Um die Quorumauthentifizierung für zu verwenden COs, muss sich ein CO beim HSM anmelden und dann den *Quorum-Mindestwert festlegen, der auch als M-Wert* bezeichnet wird.* Dies ist die Mindestanzahl von CO-Genehmigungen, die erforderlich sind, um HSM-Benutzermanagement-Vorgänge auszuführen. Jeder CO auf dem HSM kann den Quorum-Mindestwert festlegen, auch diejenigen, COs die keinen Schlüssel zum Signieren registriert haben. Sie können den Quorum-Mindestwert jederzeit ändern. Weitere Informationen finden Sie unter [Ändern Sie den Mindestwert](quorum-authentication-crypto-officers-change-minimum-value.md).

**So legen Sie den Quorum-Mindestwert im HSM fest**

1. Starten Sie das Befehlszeilen-Toolcloudhsm\$1mgmt\$1util mit folgendem Befehl.

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

1. Verwenden Sie den Befehl **loginHSM**, um sich bei den HSMs als CO anzumelden. Weitere Informationen finden Sie unter [HSM-Benutzerverwaltung mit CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md).

1. Verwenden Sie den **setMValue**-Befehl, um den Quorum-Mindestwert festzulegen. Weitere Informationen finden Sie im folgenden Beispiel. Alternativ können Sie auch den Befehl **help setMValue** ausführen.

**Example – Setzen des Quorum-Mindestwerts für das HSM**  
In diesem Beispiel wird ein Quorum-Mindestwert von zwei verwendet. Sie können einen beliebigen Wert zwischen zwei (2) und acht (8) wählen, bis hin zur Gesamtzahl von COs auf dem HSM. In diesem Beispiel hat das HSM sechs COs, sodass der maximal mögliche Wert sechs ist.  
Um den folgenden Beispielbefehl zu verwenden, ersetzen Sie die letzte Zahl (*2*) durch den bevorzugten Quorum-Mindestwert.  

```
aws-cloudhsm > setMValue 3 <2>
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
Setting M Value(2) for 3 on 2 nodes
```

Im vorhergehenden Beispiel bestimmt die erste Zahl (3) den *HSM-Service*, dessen Quorum-Mindestwert Sie festlegen.

In der folgenden Tabelle sind die HSM-Dienstkennungen zusammen mit ihren Namen, Beschreibungen und den Befehlen aufgeführt, die im Dienst enthalten sind.


| Dienstkennung | Service-Name | Service description (Service-Beschreibung) | HSM-Befehle | 
| --- | --- | --- | --- | 
| 3 | USER\$1MGMT | HSM-Benutzerverwaltung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-first-time-setup.html)  | 
| 4 | MISC\$1CO | Diverser CO-Service |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-first-time-setup.html)  | 

Um den Quorum-Mindestwert für einen Service abzurufen, verwenden Sie den **getMValue**-Befehl wie im folgenden Beispiel.

```
aws-cloudhsm > getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
```

Die Ausgabe aus dem vorausgehenden Befehl **getMValue** zeigt, dass der Quorum-Mindestwert für HSM-Benutzermanagement-Vorgänge (Service 3) jetzt zwei ist.

Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit [Benutzerverwaltung mit aktivierter Quorum-Authentifizierung für AWS CloudHSM Management Utility](quorum-authentication-crypto-officers.md) fort.

# Benutzerverwaltung mit aktivierter Quorum-Authentifizierung für AWS CloudHSM Management Utility
<a name="quorum-authentication-crypto-officers"></a>

Ein AWS CloudHSM [Crypto Officer (CO)](understanding-users-cmu.md#crypto-officer) auf dem Hardware-Sicherheitsmodul (HSM) kann die Quorumauthentifizierung für die folgenden Vorgänge auf dem HSM konfigurieren:
+ Erstellen von HSM-Benutzern
+ Löschen von HSM-Benutzern
+ Ändern des Passworts eines anderen HSM-Benutzers

Nachdem das HSM für die Quorumauthentifizierung konfiguriert wurde, COs können HSM-Benutzerverwaltungsvorgänge nicht mehr eigenständig ausgeführt werden. Das folgende Beispiel zeigt die Ausgabe, die angezeigt wird, wenn ein CO versucht, einen neuen Benutzer auf dem HSM anzulegen. Der Befehl schlägt mit einem `RET_MXN_AUTH_FAILED`-Fehler fehl. Dies weist darauf hin, dass die Quorum-Authentifizierung nicht möglich war.

```
aws-cloudhsm > createUser CU user1 password
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
Creating User user1(CU) on 2 nodes
createUser failed: RET_MXN_AUTH_FAILED
creating user on server 0(10.0.2.14) failed

Retry/Ignore/Abort?(R/I/A): A
```

Zum Ausführen eines HSM-Benutzermanagement-Vorgangs muss ein CO folgende Aufgaben erledigen:

1. [Abrufen eines *Quorum-Tokens*](#quorum-crypto-officers-get-token).

1. [Holen Sie sich Genehmigungen (Signaturen)](#quorum-crypto-officers-get-approval-signatures) von anderen ein. COs

1. [Genehmigen des Tokens im HSM](#quorum-crypto-officers-approve-token).

1. [Durchführen des HSM-Benutzermanagement-Vorgangs](#quorum-crypto-officers-use-token).

Wenn Sie das HSM noch nicht für die Quorumauthentifizierung für konfiguriert haben COs, tun Sie das jetzt. Weitere Informationen finden Sie unter [Erstmalige Einrichtung](quorum-authentication-crypto-officers-first-time-setup.md).

## Schritt 1. Abrufen eines Quorum-Tokens
<a name="quorum-crypto-officers-get-token"></a>

Zunächst muss der CO das cloudhsm\$1mgmt\$1util-Befehlszeilen-Tool verwenden, um ein *Quorum-Token* anzufordern.

**So fordern Sie ein Quorum-Token an**

1. Starten Sie das Befehlszeilen-Toolcloudhsm\$1mgmt\$1util mit folgendem Befehl.

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

1. Verwenden Sie den Befehl **loginHSM**, um sich bei den HSMs als CO anzumelden. Weitere Informationen finden Sie unter [HSM-Benutzerverwaltung mit CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md).

1. Verwenden Sie zum Abrufen eines Quorum-Tokens den Befehl **getToken**. Weitere Informationen finden Sie im folgenden Beispiel. Alternativ können Sie auch den Befehl **help getToken** ausführen.

**Example – Abrufen eines Quorum-Tokens**  
In diesem Beispiel wird ein Quorum-Token für den CO mit dem Benutzernamen „officer1“ abgerufen und in einer Datei namens `officer1.token` gespeichert. Zum Verwenden des Beispielbefehls ersetzen Sie diese Werte durch Ihre eigenen:  
+ *officer1*— Der Name des CO, der das Token erhält. Dies muss derselbe CO sein, der am HSM angemeldet ist und diesen Befehl ausführt.
+ *officer1.token*— Der Name der Datei, die zum Speichern des Quorum-Tokens verwendet werden soll.
Beim folgenden Befehl identifiziert `3` den *Service*, für den Sie das Token verwenden können, das Sie abrufen. In diesem Fall ist das Token für die HSM-Benutzermanagement-Vorgänge (Service 3). Weitere Informationen finden Sie unter [Schritt 2. Setzten des Quorum-Mindestwerts für das HSM](quorum-authentication-crypto-officers-first-time-setup.md#quorum-crypto-officers-set-quorum-minimum-value).  

```
aws-cloudhsm > getToken 3 officer1 officer1.token
getToken success on server 0(10.0.2.14)
Token:
Id:1
Service:3
Node:1
Key Handle:0
User:officer1
getToken success on server 1(10.0.1.4)
Token:
Id:1
Service:3
Node:0
Key Handle:0
User:officer1
```

## Schritt 2. Holen Sie sich Signaturen beim Genehmigen COs
<a name="quorum-crypto-officers-get-approval-signatures"></a>

Ein CO, der über ein Quorum-Token verfügt, muss das Token von anderen genehmigen lassen. COs Um ihre Zustimmung zu erteilen, COs verwenden die anderen ihren Signaturschlüssel, um das Token kryptografisch zu signieren. Dies geschieht außerhalb des HSMs.

Es gibt viele verschiedene Möglichkeiten, ein Token zu signieren. Im folgenden Beispiel wird gezeigt, wie dies mit [OpenSSL](https://www.openssl.org/) durchgeführt wird. Wenn Sie ein anderes Signatur-Tool verwenden, müssen Sie sicherstellen, dass dieses den privaten Schlüssel (Signaturschlüssel) des COs zur Signierung des SHA-256-Digests des Tokens verwendet.

**Example — Holen Sie sich Signaturen beim Genehmigen COs**  
In diesem Beispiel benötigt der CO mit dem Token (officer1) mindestens zwei Genehmigungen. Die folgenden Beispielbefehle zeigen, wie zwei Personen OpenSSL verwenden COs können, um das Token kryptografisch zu signieren.  
Beim ersten Befehl signiert „officer1“ das eigene Token. Wenn Sie die folgenden Beispielbefehle verwenden, ersetzen Sie diese Werte durch Ihre eigenen:  
+ *officer1.key*und *officer2.key* — Der Name der Datei, die den Signaturschlüssel des CO enthält.
+ *officer1.token.sig1*und *officer1.token.sig2* — Der Name der Datei, die zum Speichern der Signatur verwendet werden soll. Stellen Sie sicher, dass jede Signatur in einer anderen Datei gespeichert wird.
+ *officer1.token*— Der Name der Datei, die das Token enthält, das der CO signiert.

```
$ openssl dgst -sha256 -sign officer1.key -out officer1.token.sig1 officer1.token
Enter pass phrase for officer1.key:
```
Beim folgenden Befehl signiert „officer2“ dasselbe Token.  

```
$ openssl dgst -sha256 -sign officer2.key -out officer1.token.sig2 officer1.token
Enter pass phrase for officer2.key:
```

## Schritt 3. Genehmigen des signierten Tokens auf dem HSM
<a name="quorum-crypto-officers-approve-token"></a>

Nachdem ein CO die Mindestanzahl an Genehmigungen (Signaturen) von anderen Personen erhalten hat COs, muss er oder sie das signierte Token auf dem HSM genehmigen.

**So genehmigen Sie das signierte Token auf dem HSM**

1. Erstellen Sie eine Token-Genehmigungs-Datei. Weitere Informationen finden Sie im folgenden Beispiel.

1. Starten Sie das Befehlszeilen-Toolcloudhsm\$1mgmt\$1util mit folgendem Befehl.

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

1. Verwenden Sie den Befehl **loginHSM**, um sich bei den HSMs als CO anzumelden. Weitere Informationen finden Sie unter [HSM-Benutzerverwaltung mit CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md).

1. Verwenden Sie den Befehl **approveToken** zum Genehmigen des signierten Tokens, indem Sie die Token-Genehmigungs-Datei übergeben. Weitere Informationen finden Sie im folgenden Beispiel.

**Example – Erstellen einer Token-Genehmigungs-Datei und Genehmigen des signierten Tokens auf dem HSM**  
Die Token-Genehmigungs-Datei ist eine Textdatei in einem Format, das für das HSM erforderlich ist. Die Datei enthält Informationen über das Token, die Genehmigenden und dessen Signaturen. Im Folgenden wird ein Beispiel einer Token-Genehmigungs-Datei gezeigt.  

```
# For "Multi Token File Path", type the path to the file that contains
# the token. You can type the same value for "Token File Path", but
# that's not required. The "Token File Path" line is required in any
# case, regardless of whether you type a value.
Multi Token File Path = officer1.token;
Token File Path = ;

# Total number of approvals
Number of Approvals = 2;

# Approver 1
# Type the approver's type, name, and the path to the file that
# contains the approver's signature.
Approver Type = 2; # 2 for CO, 1 for CU
Approver Name = officer1;
Approval File = officer1.token.sig1;

# Approver 2
# Type the approver's type, name, and the path to the file that
# contains the approver's signature.
Approver Type = 2; # 2 for CO, 1 for CU
Approver Name = officer2;
Approval File = officer1.token.sig2;
```
Nach dem Erstellen der Token-Genehmigungsdatei verwendet der CO das cloudhsm\$1mgmt\$1util-Befehlszeilen-Tool für die Anmeldung am HSM. Anschließend genehmigt der CO das Token mit dem Befehl **approveToken**, wie im folgenden Beispiel gezeigt. *approval.txt*Ersetzen Sie es durch den Namen der Token-Genehmigungsdatei.  

```
aws-cloudhsm > approveToken approval.txt
approveToken success on server 0(10.0.2.14)
approveToken success on server 1(10.0.1.4)
```
Wurde der Befehl erfolgreich ausgeführt, hat das HSM das Quorum-Token genehmigt. Zum Prüfen des Token-Status nutzen Sie den Befehl **listTokens**, wie im folgenden Beispiel gezeigt. Die Befehlsausgabe zeigt, dass das Token über die erforderliche Anzahl von Genehmigungen verfügt.  
Die Token-Gültigkeitsdauer gibt an, wie lange das Token auf dem HSM erhalten bleibt. Sie können das Token auch nach Ablauf der Token-Gültigkeitsdauer (null Sekunden) noch verwenden.  

```
aws-cloudhsm > listTokens
=====================
    Server 0(10.0.2.14)
=====================
-------- Token - 0 ----------
Token:
Id:1
Service:3
Node:1
Key Handle:0
User:officer1
Token Validity: 506 sec
Required num of approvers : 2
Current num of approvals : 2
Approver-0: officer1
Approver-1: officer2
Num of tokens = 1

=====================
    Server 1(10.0.1.4)
=====================
-------- Token - 0 ----------
Token:
Id:1
Service:3
Node:0
Key Handle:0
User:officer1
Token Validity: 506 sec
Required num of approvers : 2
Current num of approvals : 2
Approver-0: officer1
Approver-1: officer2
Num of tokens = 1

listTokens success
```

## Schritt 4. Verwenden des Tokens für Benutzermanagement-Vorgänge
<a name="quorum-crypto-officers-use-token"></a>

Nachdem ein CO über ein Token mit ausreichender Anzahl an Genehmigungen verfügt (wie im vorherigen Abschnitt gezeigt), kann er eine der folgenden HSM-Benutzermanagement-Vorgänge ausführen:
+ Erstellen eines HSM-Benutzers mit dem Befehl [createUser](cloudhsm_mgmt_util-createUser.md)
+ Löschen eines HSM-Benutzers mit dem Befehl **deleteUser**
+ Ändern des Passworts eines anderen HSM-Benutzers mit dem Befehl **changePswd**

Weitere Informationen zur Verwendung dieser Befehle finden Sie unter [HSM-Benutzer](manage-hsm-users.md).

Der CO kann das Token nur für einen Vorgang nutzen. Wurde dieser erfolgreich ausgeführt, verliert das Token seine Gültigkeit. Um einen weiteren HSM-Benutzermanagement-Vorgang auszuführen, benötigt der CO ein neues Quorum-Token sowie neue Signaturen von den Genehmigenden. Zudem muss er das neue Token auf dem HSM genehmigen.

**Anmerkung**  
Das MofN-Token ist nur gültig, solange Ihre aktuelle Anmeldesitzung geöffnet ist. Wenn Sie sich von cloudhsm\$1mgmt\$1util abmelden oder die Netzwerkverbindung unterbrochen wird, ist das Token nicht mehr gültig. Ebenso kann ein autorisiertes Token nur innerhalb von cloudhsm\$1mgmt\$1util verwendet werden, es kann nicht zur Authentifizierung in einer anderen Anwendung verwendet werden.

Beim folgenden Beispielbefehl erstellt der CO einen neuen Benutzer auf dem HSM.

```
aws-cloudhsm > createUser CU user1 <password>
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
Creating User user1(CU) on 2 nodes
```

Nachdem der vorherige Befehl erfolgreich durchgeführt wurde, zeigt der nachfolgende Befehl **listUsers** den neuen Benutzer an.

```
aws-cloudhsm > listUsers
Users on server 0(10.0.2.14):
Number of users found:8

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO
         8              CU              user1                                    NO               0               NO
Users on server 1(10.0.1.4):
Number of users found:8

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO
         8              CU              user1                                    NO               0               NO
```

Wenn der CO versucht, einen weiteren HSM-Benutzermanagement-Vorgang durchzuführen, schlägt dieser aufgrund eines Quorum-Authentifizierungsfehlers fehl, wie im folgenden Beispiel gezeigt.

```
aws-cloudhsm > deleteUser CU user1
Deleting user user1(CU) on 2 nodes
deleteUser failed: RET_MXN_AUTH_FAILED
deleteUser failed on server 0(10.0.2.14)

Retry/rollBack/Ignore?(R/B/I): I
deleteUser failed: RET_MXN_AUTH_FAILED
deleteUser failed on server 1(10.0.1.4)

Retry/rollBack/Ignore?(R/B/I): I
```

Der Befehl **listTokens** zeigt an, dass der CO nicht über genehmigte Tokens verfügt, wie im folgenden Beispiel gezeigt. Um einen weiteren HSM-Benutzermanagement-Vorgang auszuführen, benötigt der CO ein neues Quorum-Token sowie neue Signaturen von den Genehmigenden. Zudem muss er das neue Token auf dem HSM genehmigen.

```
aws-cloudhsm > listTokens
=====================
    Server 0(10.0.2.14)
=====================
Num of tokens = 0

=====================
    Server 1(10.0.1.4)
=====================
Num of tokens = 0

listTokens success
```

# Ändern Sie den Quorum-Mindestwert mit dem AWS CloudHSM Management Utility
<a name="quorum-authentication-crypto-officers-change-minimum-value"></a>

Nachdem Sie [den Quorum-Mindestwert so festgelegt](quorum-authentication-crypto-officers-first-time-setup.md#quorum-crypto-officers-set-quorum-minimum-value) haben, dass AWS CloudHSM [Crypto Officers (COs)](understanding-users-cmu.md#crypto-officer) die Quorumauthentifizierung verwenden können, möchten Sie möglicherweise den Quorum-Mindestwert ändern. Das HSM lässt nur eine Änderung des Quorum-Mindestwerts zu, wenn die Anzahl der Genehmiger gleich oder höher als der aktuelle Quorum-Mindestwert ist. Wenn der Quorum-Mindestwert beispielsweise zwei ist, COs müssen mindestens zwei Personen die Änderung des Quorum-Mindestwerts genehmigen.

Für die Quorum-Genehmigung zum Ändern des Quorum-Mindestwerts benötigen Sie ein *Quorum-Token* für den Befehl **setMValue** (Service 4). Um ein Quorum-Token für den Befehl **setMValue** (Service 4) zu erhalten, muss der Quorum-Mindestwert für Service 4 größer als 1 sein. Das bedeutet, dass Sie, bevor Sie den Quorum-Mindestwert für COs (Dienst 3) ändern können, möglicherweise den Quorum-Mindestwert für Dienst 4 ändern müssen.

In der folgenden Tabelle sind die HSM-Dienstkennungen zusammen mit ihren Namen, Beschreibungen und den Befehlen aufgeführt, die im Dienst enthalten sind.


| Dienstkennung | Service-Name | Service description (Service-Beschreibung) | HSM-Befehle | 
| --- | --- | --- | --- | 
| 3 | USER\$1MGMT | HSM-Benutzerverwaltung |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-change-minimum-value.html)  | 
| 4 | MISC\$1CO | Diverser CO-Service |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-change-minimum-value.html)  | 

**So ändern Sie den Quorum-Mindestwert für Verschlüsselungsverantwortliche**

1. Starten Sie das Befehlszeilen-Toolcloudhsm\$1mgmt\$1util mit folgendem Befehl.

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

1. Verwenden Sie den Befehl **loginHSM**, um sich bei den HSMs als CO anzumelden. Weitere Informationen finden Sie unter [HSM-Benutzerverwaltung mit CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md).

1. Verwenden Sie den Befehl **getMValue**, um den Quorum-Mindestwert für Service 3 abzurufen. Weitere Informationen finden Sie im folgenden Beispiel.

1. Verwenden Sie den Befehl **getMValue**, um den Quorum-Mindestwert für Service 4 abzurufen. Weitere Informationen finden Sie im folgenden Beispiel.

1. Wenn der Quorum-Mindestwert für Service 4 niedriger ist als der Wert für Service 3, verwenden Sie den Befehl **setMValue**, um den Wert für Service 4 zu ändern. Ändern Sie den Wert für Service 4 in einen Wert, der gleich oder höher als der Wert für Service 3 ist. Weitere Informationen finden Sie im folgenden Beispiel.

1. [Rufen Sie ein *Quorum-Token*](quorum-authentication-crypto-officers.md#quorum-crypto-officers-get-token) ab und geben Sie Service 4 als den Service an, für den Sie das Token verwenden können.

1. [Holen Sie sich Genehmigungen (Unterschriften)](quorum-authentication-crypto-officers.md#quorum-crypto-officers-get-approval-signatures) von anderen ein. COs

1. [Genehmigen des Tokens im HSM](quorum-authentication-crypto-officers.md#quorum-crypto-officers-approve-token).

1. Verwenden Sie den **setMValue** Befehl, um den Quorum-Mindestwert für Dienst 3 zu ändern (Benutzerverwaltungsvorgänge, die von COs ausgeführt werden).

**Example – Abrufen von Quorum-Mindestwerten und Ändern des Werts für Service 4**  
Das folgende Beispiel zeigt, dass der Quorum-Mindestwert für Service 3 derzeit 2 ist.  

```
aws-cloudhsm > getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
```
Das folgende Beispiel zeigt, dass der Quorum-Mindestwert für Service 4 derzeit 1 ist.  

```
aws-cloudhsm > getMValue 4
MValue of service 4[MISC_CO] on server 0 : [1]
MValue of service 4[MISC_CO] on server 1 : [1]
```
Um den Quorum-Mindestwert für Service 4 zu ändern, verwenden Sie den Befehl **setMValue** und legen Sie einen Wert fest, der gleich oder höher als der Wert für Service 3 ist. Im folgenden Beispiel wird der Quorum-Mindestwert für Service 4 auf 2 festgelegt. Dies ist der gleiche Wert wie für Service 3.  

```
aws-cloudhsm > setMValue 4 2
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
Setting M Value(2) for 4 on 2 nodes
```
Die folgenden Befehle zeigen, dass der Quorum-Mindestwert für Service 3 und Service 4 jetzt 2 ist.  

```
aws-cloudhsm > getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
```

```
aws-cloudhsm > getMValue 4
MValue of service 4[MISC_CO] on server 0 : [2]
MValue of service 4[MISC_CO] on server 1 : [2]
```