Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administrar la MFA de usuarios del HSM mediante la CLI de CloudHSM
Para aumentar la seguridad, puede configurar la autenticación multifactor (MFA) para los usuarios a fin de ayudar a proteger AWS CloudHSM el clúster.
Cuando inicia sesión en un clúster con una cuenta de usuario del módulo de seguridad de hardware (HSM) habilitada para MFA, proporciona su contraseña a la CLI de CloudHSM (el primer factor, lo que sabe) y la CLI de CloudHSM le proporciona un token y le pide que lo firme.
Para proporcionar el segundo factor (el que ya tienes), firma el token con una clave privada de un par de claves que ya ha creado y asociado al usuario de HSM. Para acceder al clúster, debe proporcionar el token firmado a la CLI de CloudHSM.
Para obtener más información sobre la configuración de MFA para un usuario, consulte [Configuración de MFA para la CLI de CloudHSM](set-up-mfa-for-cloudhsm-cli.md)
En los siguientes temas, se proporciona más información acerca del trabajo con la autenticación de cuórum en el AWS CloudHSM.
**Topics**
+ [Autenticación de cuórum](quorum-mfa-cloudhsm-cli.md)
+ [Requisitos del par de claves](mfa-key-pair-cloudhsm-cli.md)
+ [Configurar MFA](set-up-mfa-for-cloudhsm-cli.md)
+ [Creación de usuarios](create-mfa-users-cloudhsm-cli.md)
+ [Inicio de sesión con usuarios](login-mfa-cloudhsm-cli.md)
+ [Rotación de claves](rotate-mfa-cloudhsm-cli.md)
+ [Anulación del registro de una clave pública de MFA](deregister-mfa-cloudhsm-cli.md)
+ [Referencia del archivo del token](reference-mfa-cloudhsm-cli.md)
# Autenticación de quórum y MFA AWS CloudHSM en clústeres mediante la CLI de CloudHSM
El AWS CloudHSM clúster utiliza la misma clave para la autenticación de quórum y para la autenticación multifactor (MFA). Esto significa que un usuario con MFA habilitado queda efectivamente registrado para el control de acceso MoFN o por quórum. Para utilizar correctamente la autenticación de cuórum y la MFA para el mismo usuario de HSM, tenga en cuenta los siguientes puntos:
+ Si actualmente usa la autenticación de cuórum para un usuario, debe usar el mismo par de claves que creó para el usuario de cuórum para habilitar la MFA para el usuario.
+ Si agrega el requisito de MFA para un usuario sin MFA que no sea un usuario de autenticación por quórum, entonces registra a ese usuario como un usuario registrado de quórum (MoFN) con autenticación MFA.
+ Si elimina el requisito de MFA o cambia la contraseña de un usuario de MFA que también es un usuario registrado de autenticación de cuórum, también eliminará el registro del usuario como usuario de cuórum MoFN.
+ Si elimina el requisito de MFA o cambia la contraseña de un usuario de MFA que también es usuario de autenticación de cuórum, *pero aún desea que ese usuario participe en la autenticación de cuórum*, debe volver a registrar ese usuario como usuario de cuórum MoFN.
Para obtener más información acerca de la autenticación de cuórum, consulte [Administrar la autenticación de cuórum (M de N)](quorum-auth-chsm-cli.md).
# Requisitos del par de claves MFA para usar la CLI de AWS CloudHSM CloudHSM
Para habilitar la autenticación multifactor (MFA) para un usuario AWS CloudHSM del módulo de seguridad de hardware (HSM), puede crear un nuevo key pair o utilizar una clave existente que cumpla los siguientes requisitos:
+ **Tipo de clave:** asimétrica
+ **Uso de clave:** firmar y verificar
+ **Especificaciones de clave: RSA\$12048**
+ El **algoritmo de firma incluye**: SHA256with RSAEncryption
**nota**
Si utiliza la autenticación de cuórum o planea utilizarla, consulte [Autenticación de quórum y MFA AWS CloudHSM en clústeres mediante la CLI de CloudHSM](quorum-mfa-cloudhsm-cli.md)
Puede usar la CLI de CloudHSM y el par de claves para crear un nuevo usuario administrador con la MFA activada.
# Configuración de MFA para la CLI de CloudHSM
Siga estos pasos para configurar la autenticación multifactor (MFA) para la CLI de CloudHSM.
1. Para configurar la MFA mediante la estrategia de firma de tokens, primero debe generar una clave privada de RSA de 2048 bits y una clave pública asociada.
```
$ openssl genrsa -out officer1.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
...........................................................+++++
....................................................................+++++
e is 65537 (0x010001)
$ openssl rsa -in officer1.key -outform PEM -pubout -out officer1.pub
writing RSA key
```
1. Ingrese el siguiente comando para iniciar la CLI en modo interactivo.
------
#### [ Linux ]
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
```
------
1. Con la CLI de CloudHSM, inicie sesión en su cuenta de usuario.
```
aws-cloudhsm > login --username --role --cluster-id
Enter password:
{
"error_code": 0,
"data": {
"username": "",
"role": ""
}
}
```
1. A continuación, ejecute el comando para cambiar su estrategia de MFA. Debe proporcionar el parámetro `--token`. Este parámetro especifica un archivo en el que se escribirán tokens sin firmar.
```
aws-cloudhsm > user change-mfa token-sign --token unsigned-tokens.json --username --role crypto-user --change-quorum
Enter password:
Confirm password:
```
1. Ahora tiene un archivo con tokens sin firmar que deben firmarse: `unsigned-tokens.json`. La cantidad de fichas de este archivo depende de la cantidad de fichas del HSMs clúster. Cada token representa un HSM. Este archivo tiene formato JSON y contiene tokens que deben firmarse para demostrar que tiene una clave privada.
```
$ cat unsigned-tokens.json
{
"version": "2.0",
"tokens": [
{
{
"unsigned": "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=",
"signed": ""
},
{
"unsigned": "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=",
"signed": ""
},
{
"unsigned": "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=",
"signed": ""
}
]
}
```
1. El siguiente paso es firmar estos tokens con la clave privada creada en el paso 1. Vuelva a colocar las firmas en el archivo. En primer lugar, debe extraer y decodificar los tokens codificados en base64.
```
$ echo "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=" > token1.b64
$ echo "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=" > token2.b64
$ echo "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=" > token3.b64
$ base64 -d token1.b64 > token1.bin
$ base64 -d token2.b64 > token2.bin
$ base64 -d token3.b64 > token3.bin
```
1. Ahora tiene los tokens binarios que puede firmar con la clave privada RSA creada en el paso 1.
```
$ openssl pkeyutl -sign \
-inkey officer1.key \
-pkeyopt digest:sha256 \
-keyform PEM \
-in token1.bin \
-out token1.sig.bin
$ openssl pkeyutl -sign \
-inkey officer1.key \
-pkeyopt digest:sha256 \
-keyform PEM \
-in token2.bin \
-out token2.sig.bin
$ openssl pkeyutl -sign \
-inkey officer1.key \
-pkeyopt digest:sha256 \
-keyform PEM \
-in token3.bin \
-out token3.sig.bin
```
1. Ahora tiene firmas binarias de los tokens. Debe codificarlas con base64 y, a continuación, volver a colocarlas en el archivo de tokens.
```
$ base64 -w0 token1.sig.bin > token1.sig.b64
$ base64 -w0 token2.sig.bin > token2.sig.b64
$ base64 -w0 token3.sig.bin > token3.sig.b64
```
1. Por último, puede volver a copiar y pegar los valores de base64 en su archivo del token:
```
{
"version": "2.0",
"tokens": [
{
"unsigned": "1jqwxb9bJOUUQLiNb7mxXS1uBJsEXh0B9nj05BqnPsE=",
"signed": "eiw3fZeCKIY50C4zPeg9Rt90M1Qlq3WlJh6Yw7xXm4nF6e9ETLE39+9M+rUqDWMRZjaBfaMbg5d9yDkz5p13U7ch2tlF9LoYabsWutkT014KRq/rcYMvFsU9n/Ey/TK0PVaxLN42X+pebV4juwMhN4mK4CzdFAJgM+UGBOj4yB9recpOBB9K8QFSpJZALSEdDgUc/mS1eDq3rU0int6+4NKuLQjpR+LSEIWRZ6g6+MND2vXGskxHjadCQ09L7Tz8VcWjKDbxJcBiGKvkqyozl9zrGo8fA3WHBmwiAgS61Merx77ZGY4PFR37+j/YMSC14prCN15DtMRv2xA1SGSb4w=="
},
{
"unsigned": "LMMFc34ASPnvNPFzBbMbr9FProS/Zu2P8zF/xzk5hVQ=",
"signed": "HBImKnHmw+6R2TpFEpfiAg4+hu2pFNwn43ClhKPkn2higbEhUD0JVi+4MerSyvU/NN79iWVxDvJ9Ito+jpiRQjTfTGEoIteyuAr1v/Bzh+HjmrO53OQpZaJ/VXGIgApD0myuu/ZGNKQTCSkkL7+V81FG7yR1Nm22jUeGa735zvm/E+cenvZdy0VVx6A7WeWrl3JEKKBweHbi+7BwbaW+PTdCuIRd4Ug76Sy+cFhsvcG1k7cMwDh8MgXzIZ2m1f/hdy2j8qAxORTLlmwyUOYvPYOvUhc+s83hx36QpGwGcD7RA0bPT5OrTx7PHd0N1CL+Wwy91We8yIOFBS6nxo1R7w=="
},
{
"unsigned": "dzeHbwhiVXQqcUGj563z51/7sLUdxjL93SbOUyZRjH8=",
"signed": "VgQPvrTsvGljVBFxHnswduq16x8ZrnxfcYVYGf/N7gEzI4At3GDs2EVZWTRdvS0uGHdkFYp1apHgJZ7PDVmGcTkIXVD2lFYppcgNlSzkYlftr5EOjqS9ZjYEqgGuB4g//MxaBaRbJai/6BlcE92NIdBusTtreIm3yTpjIXNAVoeRSnkfuw7wZcL96QoklNb1WUuSHw+psUyeIVtIwFMHEfFoRC0t+VhmnlnFnkjGPb9W3Aprw2dRRvFM3R2ZTDvMCiOYDzUCd43GftGq2LfxH3qSD51oFHglHQVOY0jyVzzlAvub5HQdtOQdErIeO0/9dGx5yot07o3xaGl5yQRhwA=="
}
]
}
```
1. Ahora que su archivo del token tiene todas las firmas necesarias, puede continuar. Introduzca el nombre del archivo que contiene los tokens firmados y pulse la tecla Intro. Por último, introduzca la ruta de su clave pública.
```
Enter signed token file path (press enter if same as the unsigned token file):
Enter public key PEM file path:officer1.pub
{
"error_code": 0,
"data": {
"username": "",
"role": "crypto-user"
}
}
```
Ahora ha configurado su usuario con MFA.
```
{
"username": "",
"role": "crypto-user",
"locked": "false",
"mfa": [
{
"strategy": "token-sign",
"status": "enabled"
}
],
"cluster-coverage": "full"
},
```
# Creación de usuarios con la MFA habilitada para la CLI de CloudHSM
Siga estos pasos para crear AWS CloudHSM usuarios con la autenticación multifactor (MFA) habilitada.
1. Utilice la CLI de CloudHSM para iniciar sesión en el HSM como administrador.
1. Utilice el comando [**user create**](cloudhsm_cli-user-create.md) para crear el usuario que desee. A continuación, siga los pasos que se indican en [Configuración de MFA para la CLI de CloudHSM](set-up-mfa-for-cloudhsm-cli.md) para configurar la MFA para el usuario.
# Iniciar sesión con usuarios con la MFA habilitada para la CLI de CloudHSM
Siga estos pasos para iniciar sesión a los AWS CloudHSM usuarios con la autenticación multifactor (MFA) habilitada.
1. Utilice el comando de [**login mfa-token-sign**](cloudhsm_cli-login-mfa-token-sign.md)de la CLI de CloudHSM para iniciar el proceso de inicio de sesión con MFA para un usuario que tenga la MFA habilitada.
```
aws-cloudhsm > login --username --role mfa-token-sign --token
Enter password:
```
1. Introduzca su contraseña. A continuación, se te pedirá que introduzcas la ruta al archivo de fichas que contiene los pares de unsigned/signed fichas, donde las fichas firmadas son las que se generan con tu clave privada.
```
aws-cloudhsm > login --username --role mfa-token-sign --token
Enter password:
Enter signed token file path (press enter if same as the unsigned token file):
```
1. Mientras se le pide que introduzca la ruta al archivo de token firmado, puede inspeccionar el archivo de token sin firmar en una terminal independiente. Identifique el archivo con los tokens sin firmar que deben firmarse: ``. La cantidad de fichas de este archivo depende de la cantidad de fichas HSMs de su clúster. Cada token representa un HSM. Este archivo tiene formato JSON y contiene tokens que deben firmarse para demostrar que tiene una clave privada.
```
$ cat
{
"version": "2.0",
"tokens": [
{
"unsigned": "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=",
"signed": ""
},
{
"unsigned": "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=",
"signed": ""
},
{
"unsigned": "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=",
"signed": ""
}
]
}
```
1. Firme los tokens sin firmar con la clave privada creada en el paso 2. En primer lugar, debe extraer y decodificar los tokens codificados en base64.
```
$ echo "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=" > token1.b64
$ echo "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=" > token2.b64
$ echo "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=" > token3.b64
$ base64 -d token1.b64 > token1.bin
$ base64 -d token2.b64 > token2.bin
$ base64 -d token3.b64 > token3.bin
```
1. Ahora tiene tokens binarios. Fírmelos con la clave privada de RSA que creó anteriormente en el [paso 1 de la configuración de la MFA](set-up-mfa-for-cloudhsm-cli.md).
```
$ openssl pkeyutl -sign \
-inkey officer1.key \
-pkeyopt digest:sha256 \
-keyform PEM \
-in token1.bin \
-out token1.sig.bin
$ openssl pkeyutl -sign \
-inkey officer1.key \
-pkeyopt digest:sha256 \
-keyform PEM \
-in token2.bin \
-out token2.sig.bin
$ openssl pkeyutl -sign \
-inkey officer1.key \
-pkeyopt digest:sha256 \
-keyform PEM \
-in token3.bin \
-out token3.sig.bin
```
1. Ahora tiene las firmas binarias de los tokens. Codifíquelas con base64 y vuelva a colocarlas en su archivo del token.
```
$ base64 -w0 token1.sig.bin > token1.sig.b64
$ base64 -w0 token2.sig.bin > token2.sig.b64
$ base64 -w0 token3.sig.bin > token3.sig.b64
```
1. Por último, vuelva a copiar y pegar los valores de base64 en su archivo del token:
```
{
"version": "2.0",
"tokens": [
{
"unsigned": "1jqwxb9bJOUUQLiNb7mxXS1uBJsEXh0B9nj05BqnPsE=",
"signed": "eiw3fZeCKIY50C4zPeg9Rt90M1Qlq3WlJh6Yw7xXm4nF6e9ETLE39+9M+rUqDWMRZjaBfaMbg5d9yDkz5p13U7ch2tlF9LoYabsWutkT014KRq/rcYMvFsU9n/Ey/TK0PVaxLN42X+pebV4juwMhN4mK4CzdFAJgM+UGBOj4yB9recpOBB9K8QFSpJZALSEdDgUc/mS1eDq3rU0int6+4NKuLQjpR+LSEIWRZ6g6+MND2vXGskxHjadCQ09L7Tz8VcWjKDbxJcBiGKvkqyozl9zrGo8fA3WHBmwiAgS61Merx77ZGY4PFR37+j/YMSC14prCN15DtMRv2xA1SGSb4w=="
},
{
"unsigned": "LMMFc34ASPnvNPFzBbMbr9FProS/Zu2P8zF/xzk5hVQ=",
"signed": "HBImKnHmw+6R2TpFEpfiAg4+hu2pFNwn43ClhKPkn2higbEhUD0JVi+4MerSyvU/NN79iWVxDvJ9Ito+jpiRQjTfTGEoIteyuAr1v/Bzh+HjmrO53OQpZaJ/VXGIgApD0myuu/ZGNKQTCSkkL7+V81FG7yR1Nm22jUeGa735zvm/E+cenvZdy0VVx6A7WeWrl3JEKKBweHbi+7BwbaW+PTdCuIRd4Ug76Sy+cFhsvcG1k7cMwDh8MgXzIZ2m1f/hdy2j8qAxORTLlmwyUOYvPYOvUhc+s83hx36QpGwGcD7RA0bPT5OrTx7PHd0N1CL+Wwy91We8yIOFBS6nxo1R7w=="
},
{
"unsigned": "dzeHbwhiVXQqcUGj563z51/7sLUdxjL93SbOUyZRjH8=",
"signed": "VgQPvrTsvGljVBFxHnswduq16x8ZrnxfcYVYGf/N7gEzI4At3GDs2EVZWTRdvS0uGHdkFYp1apHgJZ7PDVmGcTkIXVD2lFYppcgNlSzkYlftr5EOjqS9ZjYEqgGuB4g//MxaBaRbJai/6BlcE92NIdBusTtreIm3yTpjIXNAVoeRSnkfuw7wZcL96QoklNb1WUuSHw+psUyeIVtIwFMHEfFoRC0t+VhmnlnFnkjGPb9W3Aprw2dRRvFM3R2ZTDvMCiOYDzUCd43GftGq2LfxH3qSD51oFHglHQVOY0jyVzzlAvub5HQdtOQdErIeO0/9dGx5yot07o3xaGl5yQRhwA=="
}
]
}
```
1. Ahora que su archivo del token tiene todas las firmas necesarias, puede continuar. Introduzca el nombre del archivo que contiene los tokens firmados y pulse la tecla Intro. Ahora debería iniciar sesión correctamente.
```
aws-cloudhsm > login --username --role mfa-token-sign --token
Enter password:
Enter signed token file path (press enter if same as the unsigned token file):
{
"error_code": 0,
"data": {
"username": "",
"role": ""
}
}
```
# Rotar claves para los usuarios con la MFA habilitada en la CLI de CloudHSM
Siga estos pasos para rotar las claves de AWS CloudHSM los usuarios con la autenticación multifactor (MFA) habilitada.
1. Utilice la CLI de CloudHSM para iniciar sesión en el HSM como cualquier administrador o como el usuario específico que tiene habilitada la MFA (consulte el apartado [Iniciar sesión de usuarios con MFA habilitada]() para obtener más información).
1. A continuación, ejecute el comando para cambiar su estrategia de MFA. Debe proporcionar el parámetro **--token**. Este parámetro especifica un archivo en el que se escribirán tokens sin firmar.
```
aws-cloudhsm > user change-mfa token-sign --token unsigned-tokens.json --username --role crypto-user --change-quorum
Enter password:
Confirm password:
```
1. Identifique el archivo con los tokens sin firmar que deben firmarse: `unsigned-tokens.json`. La cantidad de fichas de este archivo depende de la cantidad de fichas del HSMs clúster. Cada token representa un HSM. Este archivo tiene formato JSON y contiene tokens que deben firmarse para demostrar que tiene una clave privada. Esta será la nueva clave privada del nuevo par de public/private claves RSA que desee usar para rotar la clave pública actualmente registrada.
```
$ cat unsigned-tokens.json
{
"version": "2.0",
"tokens": [
{
"unsigned": "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=",
"signed": ""
},
{
"unsigned": "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=",
"signed": ""
},
{
"unsigned": "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=",
"signed": ""
}
]
}
```
1. Firme estos tokens con la clave privada que creó anteriormente durante la configuración. En primer lugar, debe extraer y decodificar los tokens codificados en base64.
```
$ echo "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=" > token1.b64
$ echo "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=" > token2.b64
$ echo "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=" > token3.b64
$ base64 -d token1.b64 > token1.bin
$ base64 -d token2.b64 > token2.bin
$ base64 -d token3.b64 > token3.bin
```
1. Ahora tiene tokens binarios. Fírmelos con la clave privada de RSA que creó anteriormente durante la configuración.
```
$ openssl pkeyutl -sign \
-inkey officer1.key \
-pkeyopt digest:sha256 \
-keyform PEM \
-in token1.bin \
-out token1.sig.bin
$ openssl pkeyutl -sign \
-inkey officer1.key \
-pkeyopt digest:sha256 \
-keyform PEM \
-in token2.bin \
-out token2.sig.bin
$ openssl pkeyutl -sign \
-inkey officer1.key \
-pkeyopt digest:sha256 \
-keyform PEM \
-in token3.bin \
-out token3.sig.bin
```
1. Ahora tiene las firmas binarias de los tokens. Codifíquelas con base64 y vuelva a colocarlas en su archivo del token.
```
$ base64 -w0 token1.sig.bin > token1.sig.b64
$ base64 -w0 token2.sig.bin > token2.sig.b64
$ base64 -w0 token3.sig.bin > token3.sig.b64
```
1. Por último, vuelva a copiar y pegar los valores de base64 en su archivo del token:
```
{
"version": "2.0",
"tokens": [
{
"unsigned": "1jqwxb9bJOUUQLiNb7mxXS1uBJsEXh0B9nj05BqnPsE=",
"signed": "eiw3fZeCKIY50C4zPeg9Rt90M1Qlq3WlJh6Yw7xXm4nF6e9ETLE39+9M+rUqDWMRZjaBfaMbg5d9yDkz5p13U7ch2tlF9LoYabsWutkT014KRq/rcYMvFsU9n/Ey/TK0PVaxLN42X+pebV4juwMhN4mK4CzdFAJgM+UGBOj4yB9recpOBB9K8QFSpJZALSEdDgUc/mS1eDq3rU0int6+4NKuLQjpR+LSEIWRZ6g6+MND2vXGskxHjadCQ09L7Tz8VcWjKDbxJcBiGKvkqyozl9zrGo8fA3WHBmwiAgS61Merx77ZGY4PFR37+j/YMSC14prCN15DtMRv2xA1SGSb4w=="
},
{
"unsigned": "LMMFc34ASPnvNPFzBbMbr9FProS/Zu2P8zF/xzk5hVQ=",
"signed": "HBImKnHmw+6R2TpFEpfiAg4+hu2pFNwn43ClhKPkn2higbEhUD0JVi+4MerSyvU/NN79iWVxDvJ9Ito+jpiRQjTfTGEoIteyuAr1v/Bzh+HjmrO53OQpZaJ/VXGIgApD0myuu/ZGNKQTCSkkL7+V81FG7yR1Nm22jUeGa735zvm/E+cenvZdy0VVx6A7WeWrl3JEKKBweHbi+7BwbaW+PTdCuIRd4Ug76Sy+cFhsvcG1k7cMwDh8MgXzIZ2m1f/hdy2j8qAxORTLlmwyUOYvPYOvUhc+s83hx36QpGwGcD7RA0bPT5OrTx7PHd0N1CL+Wwy91We8yIOFBS6nxo1R7w=="
},
{
"unsigned": "dzeHbwhiVXQqcUGj563z51/7sLUdxjL93SbOUyZRjH8=",
"signed": "VgQPvrTsvGljVBFxHnswduq16x8ZrnxfcYVYGf/N7gEzI4At3GDs2EVZWTRdvS0uGHdkFYp1apHgJZ7PDVmGcTkIXVD2lFYppcgNlSzkYlftr5EOjqS9ZjYEqgGuB4g//MxaBaRbJai/6BlcE92NIdBusTtreIm3yTpjIXNAVoeRSnkfuw7wZcL96QoklNb1WUuSHw+psUyeIVtIwFMHEfFoRC0t+VhmnlnFnkjGPb9W3Aprw2dRRvFM3R2ZTDvMCiOYDzUCd43GftGq2LfxH3qSD51oFHglHQVOY0jyVzzlAvub5HQdtOQdErIeO0/9dGx5yot07o3xaGl5yQRhwA=="
}
]
}
```
1. Ahora que su archivo del token tiene todas las firmas necesarias, puede continuar. Introduzca el nombre del archivo que contiene los tokens firmados y pulse la tecla Intro. Por último, introduzca la ruta de su clave pública. Ahora verá lo siguiente como parte del resultado de la [lista de usuarios]().
```
Enter signed token file path (press enter if same as the unsigned token file):
Enter public key PEM file path:officer1.pub
{
"error_code": 0,
"data": {
"username": "",
"role": "crypto-user"
}
}
```
Ahora ha configurado su usuario con MFA.
```
{
"username": "",
"role": "crypto-user",
"locked": "false",
"mfa": [
{
"strategy": "token-sign",
"status": "enabled"
}
],
"cluster-coverage": "full"
},
```
Ha firmado el archivo del token con formato JSON generado con su clave privada y ha registrado una nueva clave pública de MFA.
# Anular el registro de una clave pública de MFA mediante la CLI de CloudHSM
Siga estos pasos para anular el registro de una clave pública de autenticación multifactor (MFA) para usuarios administradores de AWS CloudHSM cuando la clave pública de MFA esté registrada.
1. Utilice la CLI de CloudHSM para iniciar sesión en el HSM como administrador con MFA habilitada.
1. Utilice el comando **user change-mfa token-sign** para eliminar la MFA de un usuario.
```
aws-cloudhsm > user change-mfa token-sign --username --role admin --deregister --change-quorum
Enter password:
Confirm password:
{
"error_code": 0,
"data": {
"username": "",
"role": "admin"
}
}
```
# Referencia al archivo del token para MFA con la CLI de CloudHSM
El archivo del token que se genera al registrar una clave pública de autenticación multifactor (MFA) o al intentar iniciar sesión en la CLI de CloudHSM mediante MFA consta de lo siguiente:
+ **Tokens: una matriz de pares de unsigned/signed tokens** codificados en base64 en forma de objetos literales JSON.
+ **Sin firmar: un token** codificado y codificado en base64. SHA256
+ **Signed**: un token firmado (firma) codificado en base64 del token sin firmar que emplea la clave privada RSA de 2048 bits.
```
{
"version": "2.0",
"tokens": [
{
"unsigned": "1jqwxb9bJOUUQLiNb7mxXS1uBJsEXh0B9nj05BqnPsE=",
"signed": "eiw3fZeCKIY50C4zPeg9Rt90M1Qlq3WlJh6Yw7xXm4nF6e9ETLE39+9M+rUqDWMRZjaBfaMbg5d9yDkz5p13U7ch2tlF9LoYabsWutkT014KRq/rcYMvFsU9n/Ey/TK0PVaxLN42X+pebV4juwMhN4mK4CzdFAJgM+UGBOj4yB9recpOBB9K8QFSpJZALSEdDgUc/mS1eDq3rU0int6+4NKuLQjpR+LSEIWRZ6g6+MND2vXGskxHjadCQ09L7Tz8VcWjKDbxJcBiGKvkqyozl9zrGo8fA3WHBmwiAgS61Merx77ZGY4PFR37+j/YMSC14prCN15DtMRv2xA1SGSb4w=="
},
{
"unsigned": "LMMFc34ASPnvNPFzBbMbr9FProS/Zu2P8zF/xzk5hVQ=",
"signed": "HBImKnHmw+6R2TpFEpfiAg4+hu2pFNwn43ClhKPkn2higbEhUD0JVi+4MerSyvU/NN79iWVxDvJ9Ito+jpiRQjTfTGEoIteyuAr1v/Bzh+HjmrO53OQpZaJ/VXGIgApD0myuu/ZGNKQTCSkkL7+V81FG7yR1Nm22jUeGa735zvm/E+cenvZdy0VVx6A7WeWrl3JEKKBweHbi+7BwbaW+PTdCuIRd4Ug76Sy+cFhsvcG1k7cMwDh8MgXzIZ2m1f/hdy2j8qAxORTLlmwyUOYvPYOvUhc+s83hx36QpGwGcD7RA0bPT5OrTx7PHd0N1CL+Wwy91We8yIOFBS6nxo1R7w=="
},
{
"unsigned": "dzeHbwhiVXQqcUGj563z51/7sLUdxjL93SbOUyZRjH8=",
"signed": "VgQPvrTsvGljVBFxHnswduq16x8ZrnxfcYVYGf/N7gEzI4At3GDs2EVZWTRdvS0uGHdkFYp1apHgJZ7PDVmGcTkIXVD2lFYppcgNlSzkYlftr5EOjqS9ZjYEqgGuB4g//MxaBaRbJai/6BlcE92NIdBusTtreIm3yTpjIXNAVoeRSnkfuw7wZcL96QoklNb1WUuSHw+psUyeIVtIwFMHEfFoRC0t+VhmnlnFnkjGPb9W3Aprw2dRRvFM3R2ZTDvMCiOYDzUCd43GftGq2LfxH3qSD51oFHglHQVOY0jyVzzlAvub5HQdtOQdErIeO0/9dGx5yot07o3xaGl5yQRhwA=="
}
]
}
```