Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gestion des utilisateurs HSM avec l'utilitaire de gestion CloudHSM (CMU)
<a name="manage-hsm-users-cmu"></a>

 Pour gérer les utilisateurs du module de sécurité matérielle (HSM) AWS CloudHSM, vous devez vous connecter au HSM avec le nom d'utilisateur et le mot de passe d'un [responsable du chiffrement](understanding-users-cmu.md#crypto-officer) (CO). Seuls les utilisateurs COs peuvent être gérés. Le HSM contient un responsable du chiffrement par défaut (CO) appelé admin Vous définissez le mot de passe pour admin lorsque vous avez [activé le cluster](activate-cluster.md). 

Cette rubrique fournit des step-by-step instructions et des détails sur la gestion des utilisateurs HSM à l'aide de l'utilitaire AWS CloudHSM de gestion (CMU). 

**Topics**
+ [Conditions préalables](understand-users.md)
+ [Types d’utilisateur](understanding-users-cmu.md)
+ [Tableau des autorisations](user-permissions-table-cmu.md)
+ [Créer des utilisateurs](create-users-cmu.md)
+ [Répertorier tous les utilisateurs](list-users.md)
+ [Modifier les mots de passe](change-user-password-cmu.md)
+ [Suppression d'utilisateurs](delete-user.md)
+ [Gérer l'authentification à deux facteurs des utilisateurs](manage-2fa.md)
+ [Utilisation du CMU pour gérer l'authentification du quorum](quorum-authentication.md)

# Conditions préalables à la gestion des utilisateurs dans l'utilitaire AWS CloudHSM de gestion
<a name="understand-users"></a>

Avant d'utiliser l'utilitaire AWS CloudHSM de gestion (CMU) pour gérer les utilisateurs du module de sécurité matérielle (HSM) dans AWS CloudHSM, vous devez remplir ces conditions préalables. Les rubriques suivantes décrivent la prise en main de la CMU.

**Topics**
+ [

## Obtenez l'adresse IP d'un HSM dans AWS CloudHSM
](#user-cmu-prereq-ip)
+ [

## Utilisation du CMU avec le SDK client 3.2.1 et versions antérieures
](#downlevel-cmu)
+ [

## Télécharger l'Utilitaire de gestion CloudHSM
](#get-cli-users-cmu)

## Obtenez l'adresse IP d'un HSM dans AWS CloudHSM
<a name="user-cmu-prereq-ip"></a>

 Pour utiliser le CMU, vous devez utiliser l'outil de configuration pour mettre à jour la configuration locale. Le CMU crée sa propre connexion au cluster et cette connexion *n'est pas* consciente du cluster. Pour suivre les informations du cluster, le CMU gère un fichier de configuration local. Cela signifie que *chaque fois* que vous utilisez le CMU, vous devez d'abord mettre à jour le fichier de configuration en exécutant l'outil de ligne de commande [configure](configure-tool.md) avec le paramètre `--cmu`. Si vous utilisez le SDK client 3.2.1 ou une version antérieure, vous devez utiliser un paramètre différent de `--cmu`. Pour de plus amples informations, veuillez consulter [Utilisation du CMU avec le SDK client 3.2.1 et versions antérieures](#downlevel-cmu). 

 Le paramètre `--cmu` vous oblige à ajouter l'adresse IP d'un HSM dans votre cluster. Si vous en avez plusieurs HSMs, vous pouvez utiliser n'importe quelle adresse IP. Cela garantit que le CMU peut propager les modifications que vous apportez sur l'ensemble du cluster. N'oubliez pas que le CMU utilise son fichier local pour suivre les informations du cluster. Si le cluster a changé depuis la dernière fois que vous avez utilisé le CMU depuis un hôte particulier, vous devez ajouter ces modifications au fichier de configuration local stocké sur cet hôte. N'ajoutez ni ne supprimez jamais de HSM lorsque vous utilisez la CMU. 

**Pour obtenir une adresse IP pour un HSM (console)**

1. Ouvrez la AWS CloudHSM console à la [https://console.aws.amazon.com/cloudhsm/maison](https://console.aws.amazon.com/cloudhsm/home).

1. Pour changer de région AWS, utilisez le Sélecteur de région dans l’angle supérieur droit de la page.

1. Pour ouvrir la page détaillée du cluster, choisissez l'ID du cluster dans le tableau des clusters.

1. Pour obtenir l'adresse IP, allez dans l' HSMs onglet. Pour les IPv4 clusters, choisissez une adresse répertoriée sous ** IPv4 adresse ENI**. Pour les clusters à double pile, utilisez l'adresse ENI IPv4 ou l'** IPv6 adresse ENI**. 

**Pour obtenir une adresse IP pour un HSM ()AWS CLI**
+ Obtenez l'adresse IP d'un HSM à l'aide de la commande **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** d’ AWS CLI. Dans le résultat de la commande, l'adresse IP de HSMs sont les valeurs de `EniIp` et `EniIpV6` (s'il s'agit d'un cluster à double pile). 

  ```
  $ aws cloudhsmv2 describe-clusters
  {
      "Clusters": [
          { ... }
              "Hsms": [
                  {
  ...
                      "EniIp": "10.0.0.9",
  ...
                  },
                  {
  ...
                      "EniIp": "10.0.1.6",
                      "EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733",
  ...
  ```

## Utilisation du CMU avec le SDK client 3.2.1 et versions antérieures
<a name="downlevel-cmu"></a>

Avec le SDK client 3.3.0, la prise en charge du `--cmu` paramètre AWS CloudHSM a été ajoutée, ce qui simplifie le processus de mise à jour du fichier de configuration de la CMU. Si vous utilisez une version de CMU issue du SDK client 3.2.1 ou d'une version antérieure, vous devez continuer à utiliser les paramètres `-a` et `-m` pour mettre à jour le fichier de configuration. Pour plus d'informations sur ces paramètres, veuillez consulter l’[Outil de configuration](configure-tool.md).

## Télécharger l'Utilitaire de gestion CloudHSM
<a name="get-cli-users-cmu"></a>

La dernière version de CMU est disponible pour les tâches de gestion des utilisateurs HSM, que vous utilisiez le SDK client 5 ou le SDK client 3. 

**Pour télécharger et installer le CMU**
+ Téléchargez et installez le CMU.

------
#### [ Amazon Linux ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL6/cloudhsm-mgmt-util-latest.el6.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el6.x86_64.rpm
  ```

------
#### [ Amazon Linux 2 ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

------
#### [ CentOS 7.8\$1 ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

------
#### [ CentOS 8.3\$1 ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
  ```

------
#### [ RHEL 7 (7.8\$1) ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

------
#### [ RHEL 8 (8.3\$1) ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
  ```

------
#### [ Ubuntu 16.04 LTS ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Xenial/cloudhsm-mgmt-util_latest_amd64.deb
  ```

  ```
  $ sudo apt install ./cloudhsm-mgmt-util_latest_amd64.deb
  ```

------
#### [ Ubuntu 18.04 LTS ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Bionic/cloudhsm-mgmt-util_latest_u18.04_amd64.deb
  ```

  ```
  $ sudo apt install ./cloudhsm-mgmt-util_latest_u18.04_amd64.deb
  ```

------
#### [ Windows Server 2012 ]

  1. Téléchargez [l'Utilitaire de gestion CloudHSM](https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMManagementUtil-latest.msi).

  1. Exécutez le programme d'installation de la CMU (**AWSCloudHSMManagementUtil-latest.msi**) avec les privilèges d'administrateur Windows.

------
#### [ Windows Server 2012 R2 ]

  1. Téléchargez [l'Utilitaire de gestion CloudHSM](https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMManagementUtil-latest.msi).

  1. Exécutez le programme d'installation de la CMU (**AWSCloudHSMManagementUtil-latest.msi**) avec les privilèges d'administrateur Windows.

------
#### [ Windows Server 2016 ]

  1. Téléchargez [l'Utilitaire de gestion CloudHSM](https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMManagementUtil-latest.msi).

  1. Exécutez le programme d'installation de la CMU (**AWSCloudHSMManagementUtil-latest.msi**) avec les privilèges d'administrateur Windows.

------

# Types d'utilisateurs HSM pour l'utilitaire AWS CloudHSM de gestion
<a name="understanding-users-cmu"></a>

 La plupart des opérations que vous effectuez sur le module de sécurité matériel (HSM) nécessitent les informations d'identification d'un utilisateur AWS CloudHSM *HSM*. Le HSM authentifie chaque utilisateur HSM et chaque utilisateur HSM possède un *type* qui détermine les opérations que vous pouvez effectuer sur le HSM en tant qu'utilisateur. 

**Note**  
Les utilisateurs HSM sont distincts des utilisateurs IAM. Les utilisateurs IAM qui disposent des informations d'identification correctes peuvent créer HSMs en interagissant avec les ressources via l'API AWS. Une fois le HSM créé, vous devez utiliser les informations d'identification de l'utilisateur HSM pour authentifier les opérations sur le HSM.

**Topics**
+ [

## Responsable du pré-chiffrement (PRECO)
](#preco)
+ [

## Responsable de chiffrement (CO)
](#crypto-officer)
+ [

## Utilisateur de chiffrement (CU)
](#crypto-user-cmu)
+ [

## utilisateur de l'appareil (AU)
](#appliance-user-cmu)

## Responsable du pré-chiffrement (PRECO)
<a name="preco"></a>

Dans l'Utilitaire de gestion du cloud (CMU) et dans l'Utilitaire de gestion des clés (KMU), le PRECO est un utilisateur temporaire qui n'existe que sur le premier HSM d'un cluster AWS CloudHSM . Le premier HSM d'un nouveau cluster contient un utilisateur PRECO indiquant que ce cluster n'a jamais été activé. Pour [activer un cluster](activate-cluster.md), vous devez exécuter le cloudhsm-cli et exécuter la commande. **cluster activate** Connectez-vous au HSM et modifiez le mot de passe du PRECO. Lorsque vous modifiez le mot de passe, cet utilisateur devient un responsable de chiffrement (CO). 

## Responsable de chiffrement (CO)
<a name="crypto-officer"></a>

Dans l'Utilitaire de gestion du cloud (CMU) et dans l'Utilitaire de gestion des clés (KMU), un responsable de chiffrement (CO) peut effectuer des opérations de gestion des utilisateurs. Par exemple, il peut créer et supprimer des utilisateurs, et modifier les mots de passe des utilisateurs. Pour de plus amples informations sur les utilisateurs CO, veuillez consulter [Tableau des autorisations utilisateur HSM pour l'utilitaire AWS CloudHSM de gestion](user-permissions-table-cmu.md). Lorsque vous activez un nouveau cluster, l'utilisateur passe du statut de responsable du [préchiffrement (PRECO) à celui de responsable](#preco) du chiffrement (CO). 

## Utilisateur de chiffrement (CU)
<a name="crypto-user-cmu"></a>

Un utilisateur de chiffrement (CU) peut effectuer les opérations de chiffrement et de gestion des clés suivantes.
+ **Gestion des clés** - Créer, supprimer, partager, importer et exporter des clés de chiffrement.
+ **Opérations de chiffrement** - Utiliser les clés de chiffrement pour le chiffrement, le déchiffrement, la signature, la vérification, et plus encore.

Pour de plus amples informations, veuillez consulter [Tableau des autorisations utilisateur HSM pour l'utilitaire AWS CloudHSM de gestion](user-permissions-table-cmu.md).

## utilisateur de l'appareil (AU)
<a name="appliance-user-cmu"></a>

L'utilisateur de l'appliance (AU) peut effectuer des opérations de clonage et de synchronisation sur le cluster. HSMs AWS CloudHSM utilise l'AU pour synchroniser le HSMs dans un AWS CloudHSM cluster. L'UA existe sur tous les HSMs sites fournis par AWS CloudHSM et dispose d'autorisations limitées. Pour de plus amples informations, veuillez consulter [Tableau des autorisations utilisateur HSM pour l'utilitaire AWS CloudHSM de gestion](user-permissions-table-cmu.md).

AWS ne peut effectuer aucune opération sur votre HSMs . AWS ne peut pas afficher ou modifier vos utilisateurs ou vos clés et ne peut effectuer aucune opération cryptographique à l'aide de ces clés.

# Tableau des autorisations utilisateur HSM pour l'utilitaire AWS CloudHSM de gestion
<a name="user-permissions-table-cmu"></a>

Le tableau suivant répertorie les opérations du module de sécurité matérielle (HSM) triées par type d'utilisateur ou de session HSM dans lequel l'opération peut être effectuée. AWS CloudHSM


|  | Responsable de chiffrement (CO) | Utilisateur de chiffrement (CU) | utilisateur de l'appareil (AU) | Session non authentifiée | 
| --- | --- | --- | --- | --- | 
| Obtention d'informations de base sur le cluster¹ | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | 
| Changement de son mot de passe | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | Non applicable | 
| Changement du mot de passe d'un utilisateur | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | 
| Ajout et suppression d'utilisateurs | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | 
| Obtention du statut de la synchronisation² | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | 
| Extraction et insertion d'objets masqués³ | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | 
| Fonctions de gestion des clés⁴ | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | 
| Chiffrement et déchiffrement | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | 
| Connexion et vérification | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | 
| Générez des résumés et HMACs | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-yes.png) Oui | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/icon-no.png) Non | 
+  [1] Les informations de base du cluster incluent le nombre de membres du HSMs cluster et l'adresse IP, le modèle, le numéro de série, l'identifiant de l'appareil, l'identifiant du microprogramme, etc. de chaque HSM. 
+  [2] L'utilisateur peut obtenir un ensemble de résumés (hachages) qui correspondent aux clés du HSM. Une application peut comparer ces ensembles de résumés pour comprendre l'état de synchronisation HSMs d'un cluster. 
+  [3] Les objets masqués sont des clés qui sont chiffrées avant de quitter le HSM. Elles ne peuvent pas être déchiffrées en dehors du HSM. Elles ne sont déchiffrées que lorsqu'elles sont insérées dans un HSM qui se trouve dans le même cluster que le HSM duquel elles ont été extraites. Une application peut extraire et insérer des objets masqués pour les synchroniser HSMs dans un cluster. 
+  [4] Les fonctions de gestion des clés incluent la création, la suppression, l'encapsulage, le désencapsulage et la modification des attributs de clés. 

# Création d'utilisateurs HSM à l'aide de l'utilitaire AWS CloudHSM de gestion
<a name="create-users-cmu"></a>

**createUser**À utiliser dans l'utilitaire de AWS CloudHSM gestion (CMU) pour créer de nouveaux utilisateurs sur le module de sécurité matérielle (HSM). Vous devez vous connecter en tant que CO pour créer un utilisateur.

**Pour créer un nouvel utilisateur CO**

1. Utilisez l'outil de configuration pour mettre à jour la configuration du CMU.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Démarrer le CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1. Connectez-vous au HSM en tant qu'utilisateur CO.

   ```
   aws-cloudhsm > loginHSM CO admin co12345
   ```

   Assurez-vous que le nombre de connexions répertoriées par la CMU correspond au nombre de HSMs connexions du cluster. Si ce n'est pas le cas, déconnectez-vous et recommencez.

1. Utilisez **createUser** pour créer un utilisateur CO nommé **example\$1officer** dont le mot de passe est **password1**.

   ```
   aws-cloudhsm > createUser CO example_officer password1
   ```

   L’utilitaire CMU vous invite à réaliser l’opération de création d’utilisateurs.

   ```
   *************************CAUTION********************************
   This is a CRITICAL operation, should be done on all nodes in the
   cluster. AWS does NOT synchronize these changes automatically with the
   nodes on which this operation is not executed or failed, please
   ensure this operation is executed on all nodes in the cluster.
   ****************************************************************
   
   Do you want to continue(y/n)?
   ```

1. Tapez **y**.

**Pour créer un nouvel utilisateur CU**

1. Utilisez l'outil de configuration pour mettre à jour la configuration du CMU.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Démarrer le CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1. Connectez-vous au HSM en tant qu'utilisateur CO.

   ```
   aws-cloudhsm > loginHSM CO admin co12345
   ```

   Assurez-vous que le nombre de connexions répertoriées par la CMU correspond au nombre de HSMs connexions du cluster. Si ce n'est pas le cas, déconnectez-vous et recommencez.

1. Utilisez **createUser** pour créer un utilisateur CU nommé **example\$1user** dont le mot de passe est **password1**.

   ```
   aws-cloudhsm > createUser CU example_user password1
   ```

   L’utilitaire CMU vous invite à réaliser l’opération de création d’utilisateurs.

   ```
   *************************CAUTION********************************
   This is a CRITICAL operation, should be done on all nodes in the
   cluster. AWS does NOT synchronize these changes automatically with the
   nodes on which this operation is not executed or failed, please
   ensure this operation is executed on all nodes in the cluster.
   ****************************************************************
   
   Do you want to continue(y/n)?
   ```

1. Tapez **y**.

Pour plus d'informations sur **createUser**, veuillez consulter [Créer un utilisateur](cloudhsm_mgmt_util-createUser.md).

# Répertorier tous les utilisateurs HSM du cluster à l'aide de l'utilitaire AWS CloudHSM de gestion
<a name="list-users"></a>

 Utilisez la **listUsers** commande de l'utilitaire AWS CloudHSM de gestion (CMU) pour répertorier tous les utilisateurs du AWS CloudHSM cluster. Vous n'avez pas besoin de vous connecter pour exécuter **listUsers** et tous les types d'utilisateurs peuvent répertorier des utilisateurs. 

**Pour répertorier tous les utilisateurs du cluster**

1. Utilisez l'outil de configuration pour mettre à jour la configuration du CMU.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Démarrer le CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1.  Utilisez **listUsers** pour répertorier tous les utilisateurs du cluster. 

   ```
   aws-cloudhsm > listUsers
   ```

   L’utilitaire CMU répertorie tous les utilisateurs du cluster.

   ```
   Users on server 0(10.0.2.9):
   Number of users found:4
   
       User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
            1              AU              app_user                                 NO               0               NO
            2              CO              example_officer                          NO               0               NO
            3              CU              example_user                             NO               0               NO
   Users on server 1(10.0.3.11):
   Number of users found:4
   
       User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
            1              AU              app_user                                 NO               0               NO
            2              CO              example_officer                          NO               0               NO
            3              CU              example_user                             NO               0               NO
   Users on server 2(10.0.1.12):
   Number of users found:4
   
       User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
            1              AU              app_user                                 NO               0               NO
            2              CO              example_officer                          NO               0               NO
            3              CU              example_user                             NO               0               NO
   ```

Pour de plus amples informations sur **listUsers**, veuillez consulter [répertorier les utilisateurs](cloudhsm_mgmt_util-listUsers.md).

# Modifier les mots de passe des utilisateurs HSM à l'aide de l'utilitaire AWS CloudHSM de gestion
<a name="change-user-password-cmu"></a>

 Utilisez-le **changePswd** dans l'utilitaire AWS CloudHSM de gestion (CMU) pour modifier le mot de passe d'un utilisateur du module de sécurité matériel (HSM). 

 Les types d'utilisateurs et les mots de passe sont sensibles à la casse, les noms d'utilisateurs, non.

 Les utilisateurs de chiffrement (CU) et les utilisateurs d'appliance (AU) peuvent modifier uniquement leur propre mot de passe. Pour modifier le mot de passe d'un autre utilisateur, vous devez vous connecter en tant que CO. Vous ne pouvez pas modifier le mot de passe d'un utilisateur qui est actuellement connecté. 

**Pour modifier votre propre mot de passe**

1. Utilisez l'outil de configuration pour mettre à jour la configuration du CMU.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Démarrer le CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1. Connectez-vous au HSM.

   ```
   aws-cloudhsm > loginHSM CO admin co12345
   ```

   Assurez-vous que le nombre de connexions répertoriées par la CMU correspond au nombre de HSMs connexions du cluster. Si ce n'est pas le cas, déconnectez-vous et recommencez.

1. Pour modifier votre propre mot de passe utilisez **changePswd**. 

   ```
   aws-cloudhsm > changePswd CO example_officer <new password>
   ```

   Le CMU fournit une invite sur l’opération de modification du mot de passe.

   ```
   *************************CAUTION********************************
   This is a CRITICAL operation, should be done on all nodes in the
   cluster. AWS does NOT synchronize these changes automatically with the
   nodes on which this operation is not executed or failed, please
   ensure this operation is executed on all nodes in the cluster.
   ****************************************************************
   
   Do you want to continue(y/n)?
   ```

1. Tapez **y**.

   Le CMU fournit une invite sur l’opération de modification du mot de passe.

   ```
   Changing password for example_officer(CO) on 3 nodes
   ```

**Pour modifier le mot de passe d'un autre utilisateur**

1. Utilisez l'outil de configuration pour mettre à jour la configuration du CMU.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Démarrer le CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1. Connectez-vous au HSM en tant qu'utilisateur CO.

   ```
   aws-cloudhsm > loginHSM CO admin co12345
   ```

   Assurez-vous que le nombre de connexions répertoriées par la CMU correspond au nombre de HSMs connexions du cluster. Si ce n'est pas le cas, déconnectez-vous et recommencez.

1.  Utilisez **changePswd** pour modifier le mot de passe d'un autre utilisateur. 

   ```
   aws-cloudhsm > changePswd CU example_user <new password>
   ```

   Le CMU fournit une invite sur l’opération de modification du mot de passe.

   ```
   *************************CAUTION********************************
   This is a CRITICAL operation, should be done on all nodes in the
   cluster. AWS does NOT synchronize these changes automatically with the
   nodes on which this operation is not executed or failed, please
   ensure this operation is executed on all nodes in the cluster.
   ****************************************************************
   
   Do you want to continue(y/n)?
   ```

1. Tapez **y**.

   Le CMU fournit une invite sur l’opération de modification du mot de passe.

   ```
   Changing password for example_user(CU) on 3 nodes
   ```

Pour plus d'informations sur **changePswd**, veuillez consulter [Modifier le mot de passe](cloudhsm_mgmt_util-changePswd.md).

# Supprimer des utilisateurs HSM à l'aide de l'utilitaire AWS CloudHSM de gestion
<a name="delete-user"></a>

**deleteUser**À utiliser dans l'utilitaire AWS CloudHSM de gestion (CMU) pour supprimer un utilisateur du module de sécurité matériel (HSM). Vous devez vous connecter en tant que CO pour supprimer un autre utilisateur.

**Astuce**  
 Vous ne pouvez pas supprimer les utilisateurs de chiffrement (CU) qui possèdent des clés. 

**Pour supprimer un utilisateur**

1. Utilisez l'outil de configuration pour mettre à jour la configuration du CMU.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Démarrer le CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1. Connectez-vous au HSM en tant qu'utilisateur CO.

   ```
   aws-cloudhsm > loginHSM CO admin co12345
   ```

   Assurez-vous que le nombre de connexions répertoriées par la CMU correspond au nombre de HSMs connexions du cluster. Si ce n'est pas le cas, déconnectez-vous et recommencez.

1.  Utilisez **deleteUser** pour supprimer un utilisateur. 

   ```
   aws-cloudhsm > deleteUser CO example_officer
   ```

   Le CMU supprime l'utilisateur.

   ```
   Deleting user example_officer(CO) on 3 nodes
   deleteUser success on server 0(10.0.2.9)
   deleteUser success on server 1(10.0.3.11)
   deleteUser success on server 2(10.0.1.12)
   ```

Pour plus d'informations sur **deleteUser**, veuillez consulter [Supprimer un utilisateur](cloudhsm_mgmt_util-deleteUser.md).

# Gérer l'authentification à deux facteurs pour les utilisateurs à l'aide de l'utilitaire AWS CloudHSM de gestion
<a name="manage-2fa"></a>

Pour renforcer la sécurité, vous pouvez configurer l'authentification à deux facteurs (2FA) pour protéger le AWS CloudHSM cluster. Vous ne pouvez activer l'authentification à deux facteurs que pour les responsables de chiffrement (CO). 

Lorsque vous vous connectez à un cluster avec un compte HSM (Hardware Service Module) compatible 2FA, vous fournissez votre mot de passe à cloudhsm-mgmt\$1util (CMU) (le premier facteur, ce que vous connaissez), et l’utilitaire CMU vous fournit un jeton et vous invite à le faire signer. Pour fournir le deuxième facteur, c'est-à-dire ce que vous avez, vous signez le jeton avec une clé privée provenant d'une paire de clés que vous avez déjà créée et associée à l'utilisateur HSM. Pour accéder au cluster, vous devez fournir le jeton signé à l’utilitaire CMU.

**Note**  
Vous ne pouvez pas activer l'authentification à deux facteurs pour les utilisateurs de chiffrement (CU) ou les applications. L'authentification à deux facteurs (2FA) est réservée aux utilisateurs de CO.

**Topics**
+ [Authentification par quorum](quorum-2fa.md)
+ [Exigences relatives aux paires de clés](enable-2fa-kms.md)
+ [Créer des utilisateurs](create-2fa.md)
+ [Gérer l'authentification à deux facteurs des utilisateurs](rotate-2fa.md)
+ [Désactiver 2FA](disable-2fa.md)
+ [Référence de configuration](reference-2fa.md)

# Authentification par quorum et 2FA dans les AWS CloudHSM clusters à l'aide de l'utilitaire AWS CloudHSM de gestion
<a name="quorum-2fa"></a>

Le cluster utilise la même clé pour l'authentification par quorum et pour l'authentification à deux facteurs (2FA). Cela signifie qu'un utilisateur dont l'authentification à deux facteurs est activée est effectivement enregistré pour M-of-N-access -control (MoFN). Pour utiliser correctement l'authentification 2FA et l'authentification par quorum pour le même utilisateur HSM, tenez compte des points suivants :
+ Si vous utilisez l'authentification par quorum pour un utilisateur aujourd'hui, vous devez utiliser la même paire de clés que celle que vous avez créée pour l'utilisateur du quorum afin d'activer l'authentification à deux facteurs pour cet utilisateur. 
+ Si vous ajoutez l'exigence 2FA pour un utilisateur non-2FA qui n'est pas un utilisateur d'authentification par quorum, vous enregistrez cet utilisateur en tant qu'utilisateur MofN avec authentification 2FA.
+ Si vous supprimez l'exigence 2FA ou modifiez le mot de passe d'un utilisateur 2FA qui est également un utilisateur d'authentification par quorum, vous supprimerez également l'enregistrement de l'utilisateur du quorum en tant qu'utilisateur MofN.
+ Si vous supprimez l'exigence 2FA ou modifiez le mot de passe d'un utilisateur 2FA qui est également un utilisateur utilisant l'authentification par quorum, mais que vous *souhaitez tout de même que cet utilisateur participe à l'authentification par quorum*, vous devez l'enregistrer à nouveau en tant qu'utilisateur MofN.

Pour de plus amples informations sur l'authentification par quorum, veuillez consulter [Utilisation du CMU pour gérer l'authentification du quorum](quorum-authentication.md).

# Exigences relatives aux paires de clés 2FA pour AWS CloudHSM l'utilisation de l'utilitaire AWS CloudHSM de gestion
<a name="enable-2fa-kms"></a>

Pour activer l'authentification à deux facteurs (2FA) pour un utilisateur du module de sécurité AWS CloudHSM matériel (HSM), utilisez une clé répondant aux exigences suivantes. 

Vous pouvez créer une nouvelle paire de clés ou utiliser une clé existante répondant aux exigences suivantes. 
+ Type de clé : asymétrique
+ Utilisation de clé : signature et vérification
+ Spécification de clé : RSA\$12048
+ L'algorithme de signature inclut : 
  + `sha256WithRSAEncryption`

**Note**  
Si vous utilisez l'authentification par quorum ou si vous envisagez d'utiliser l'authentification par quorum, consultez [Authentification par quorum et 2FA dans les AWS CloudHSM clusters à l'aide de l'utilitaire AWS CloudHSM de gestion](quorum-2fa.md).

# Création d'utilisateurs avec 2FA activé pour les utilisateurs de AWS CloudHSM Management Utility
<a name="create-2fa"></a>

Utilisez l'utilitaire AWS CloudHSM de gestion CMU (CMU) et la paire de clés pour créer un nouvel utilisateur de Crypto Office (CO) avec l'authentification à deux facteurs (2FA) activée.

**Pour créer des utilisateurs CO pour lesquels 2FA est activé**

1. Dans un terminal, effectuez l'une des étapes suivantes :

   1. Accédez à votre HSM et connectez-vous à l'Utilitaire de gestion CloudHSM :

      ```
      /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
      ```

   1. Connectez-vous en tant que CO et utilisez la commande suivante pour créer un nouvel utilisateur MFA avec 2FA :

      ```
      aws-cloudhsm > createUser CO MFA <CO USER PASSWORD> -2fa /home/ec2-user/authdata
      *************************CAUTION********************************
      This is a CRITICAL operation, should be done on all nodes in the
      cluster. AWS does NOT synchronize these changes automatically with the 
      nodes on which this operation is not executed or failed, please 
      ensure this operation is executed on all nodes in the cluster.  
      ****************************************************************
      
      Do you want to continue(y/n)? y
      
      Creating User exampleuser3(CO) on 1 nodesAuthentication data written to: "/home/ec2-user/authdata"Generate Base64-encoded signatures for SHA256 digests in the authentication datafile. 
      To generate the signatures, use the RSA private key, which is the second factor ofauthentication for this user. Paste the signatures and the corresponding public keyinto the authentication data file and provide 
      the file path below.Leave this field blank to use the path initially provided.Enter filename:
      ```

   1. Laissez le terminal ci-dessus dans cet état. N'appuyez pas sur Entrée et n'entrez aucun nom de fichier.

1. Dans un autre terminal, effectuez les opérations suivantes :

   1. Accédez à votre HSM et connectez-vous à l'Utilitaire de gestion CloudHSM :

      ```
      /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
      ```

   1. Générez une paire de clés publique-privée à l'aide des commandes suivantes :

      ```
      openssl genpkey -algorithm RSA -out private_key.pem -pkeyopt rsa_keygen_bits:2048
      ```

      ```
      openssl rsa -pubout -in private_key.pem -out public_key.pem
      ```

   1. Exécutez la commande suivante pour installer une fonctionnalité de requête JSON permettant d'extraire le résumé du fichier authdata :

      ```
      sudo yum install jq
      ```

   1. Pour extraire la valeur du résumé, recherchez d'abord les données suivantes dans le fichier authdata :

      ```
      {
        "Version":"1.0",
        "PublicKey":"",
        "Data":[
          {
            "HsmId": <"HSM ID">,
            "Digest": <"DIGEST">,
            "Signature": ""
          }
        ]
      }
      ```
**Note**  
Le résumé obtenu est codé en base64, mais pour signer le résumé, vous devez d'abord décoder puis signer le fichier. La commande suivante décodera le résumé et stockera le contenu décodé dans « digest1.bin »  

      ```
      cat authdata | jq '.Data[0].Digest' | cut -c2- | rev | cut -c2- | rev | base64 -d > digest1.bin
      ```

   1. Convertissez le contenu de la clé publique en ajoutant « \$1n » et en supprimant les espaces comme indiqué ici :

      ```
      -----BEGIN PUBLIC KEY-----\n<PUBLIC KEY>\n-----END PUBLIC KEY----- 
      ```
**Important**  
La commande ci-dessus montre comment « \$1n » est ajouté immédiatement après **BEGIN PUBLIC KEY-----**, les espaces entre « \$1n » et le premier caractère de la clé publique sont supprimés, « \$1n » est ajouté avant **-----END PUBLIC KEY** et les espaces sont supprimés entre « \$1n » et la fin de la clé publique.

      Il s'agit du format PEM pour la clé publique qui est accepté dans le fichier authdata.

   1. Collez le contenu du format pem de la clé publique dans la section clé publique du fichier authdata.

      ```
      vi authdata
      ```

      ```
      {
        "Version":"1.0",
        "PublicKey":"-----BEGIN PUBLIC KEY-----\n<"PUBLIC KEY">\n-----END PUBLIC KEY-----",
        "Data":[    
          {      
            "HsmId":<"HSM ID">,
            "Digest":<"DIGEST">,      
            "Signature": ""   
          }  
        ]
      }
      ```

   1. Signez le fichier du jeton à l'aide de la commande suivante :

      ```
      openssl pkeyutl -sign -in digest1.bin -inkey private_key.pem -pkeyopt digest:sha256 | base64
      Output Expected:
      <"THE SIGNATURE">
      ```
**Note**  
Comme indiqué dans la commande ci-dessus, utilisez **openssl pkeyutl** plutôt que **openssl dgst** pour signer.

   1. Ajoutez le résumé signé dans le fichier Authdata dans le champ « Signature ».

      ```
      vi authdata
      ```

      ```
      {
          "Version": "1.0",
          "PublicKey": "-----BEGIN PUBLIC KEY----- ... -----END PUBLIC KEY-----",
          "Data": [
              {
                  "HsmId": <"HSM ID">,
                  "Digest": <"DIGEST">,
                  "Signature": <"Kkdl ... rkrvJ6Q==">
              },
              {
                  "HsmId": <"HSM ID">,
                  "Digest": <"DIGEST">,
                  "Signature": <"K1hxy ... Q261Q==">
              }
          ]
      }
      ```

1. Retournez au premier terminal et appuyez sur **Enter** :

   ```
   Generate Base64-encoded signatures for SHA256 digests in the authentication datafile. To generate the signatures, use the RSA private key, 
   which is the second factor ofauthentication for this user. Paste the signatures and the corresponding public keyinto the authentication data file and provide the file path below. Leave this field blank to use the path initially provided. 
   Enter filename: >>>>> Press Enter here
   
   createUser success on server 0(10.0.1.11)
   ```

# Gérez l'authentification à deux facteurs pour les utilisateurs HSM à l'aide AWS CloudHSM de l'utilitaire de gestion
<a name="rotate-2fa"></a>

**changePswd**À utiliser dans l'utilitaire AWS CloudHSM de gestion (CMU) pour modifier l'authentification à deux facteurs (2FA) pour un utilisateur. Chaque fois que vous activez l'authentification à deux facteurs, vous devez fournir une clé publique pour les connexions à deux facteurs.

**changePswd**exécute l'un des scénarios suivants : 
+ Modification du mot de passe d'un utilisateur 2FA
+ Modification du mot de passe d'un utilisateur non-2FA
+ Ajout de 2FA à un utilisateur non-2FA
+ Suppression de l'authentification à deux facteurs d'un utilisateur 2FA
+ Rotation de la clé pour un utilisateur 2FA

Vous pouvez également combiner des tâches. Par exemple, vous pouvez supprimer l’authentification 2FA d'un utilisateur et modifier le mot de passe en même temps, ou vous pouvez faire pivoter la clé 2FA et modifier le mot de passe utilisateur.

**Pour modifier les mots de passe ou faire pivoter les clés pour les utilisateurs CO pour lesquels 2FA est activé**

1. Utilisez l’utilitaire CMU pour vous connecter au HSM en tant que CO avec 2FA activé.

1.  Utilisez **changePswd** pour modifier le mot de passe ou faire pivoter la clé pour les utilisateurs CO pour lesquels l'authentification à deux facteurs est activée. Utilisez le paramètre `-2fa` et incluez un emplacement dans le système de fichiers pour que le système puisse écrire le fichier `authdata`. Ce fichier inclut un résumé pour chaque HSM du cluster.

   ```
   aws-cloudhsm > changePswd CO example-user <new-password> -2fa /path/to/authdata
   ```

   L’utilitaire CMU vous invite à utiliser la clé privée pour signer les résumés du fichier `authdata` et à renvoyer les signatures avec la clé publique.

1. Utilisez la clé privée pour signer les résumés du fichier `authdata`, ajoutez les signatures et la clé publique au fichier `authdata` au format JSON, puis indiquez à l’utilitaire CMU l'emplacement du fichier `authdata`. Pour de plus amples informations, veuillez consulter [Référence de configuration pour l'authentification à deux facteurs avec utilitaire AWS CloudHSM de gestion](reference-2fa.md).
**Note**  
Le cluster utilise la même clé pour l'authentification par quorum et l'authentification à deux facteurs. Si vous utilisez l'authentification par quorum ou si vous envisagez d'utiliser l'authentification par quorum, consultez [Authentification par quorum et 2FA dans les AWS CloudHSM clusters à l'aide de l'utilitaire AWS CloudHSM de gestion](quorum-2fa.md).

# Désactiver l'authentification à deux facteurs pour les utilisateurs de HSM à l'aide AWS CloudHSM de l'utilitaire de gestion
<a name="disable-2fa"></a>

Utilisez l'utilitaire AWS CloudHSM de gestion (CMU) pour désactiver l'authentification à deux facteurs (2FA) pour les utilisateurs du module de sécurité matériel (HSM) dans. AWS CloudHSM

**Pour désactiver l'authentification à deux facteurs pour les utilisateurs CO pour lesquels l'authentification à deux facteurs est activée**

1. Utilisez l’utilitaire CMU pour vous connecter au HSM en tant que CO avec 2FA activé.

1.  Utilisez **changePswd** pour supprimer l'authentification à deux facteurs pour les utilisateurs CO pour lesquels l'authentification à deux facteurs est activée. 

   ```
   aws-cloudhsm > changePswd CO example-user <new password>
   ```

   L’utilitaire CMU vous invite à confirmer l'opération de modification du mot de passe.
**Note**  
Si vous supprimez l'exigence 2FA ou modifiez le mot de passe d'un utilisateur 2FA qui est également un utilisateur d'authentification par quorum, vous supprimerez également l'enregistrement de l'utilisateur du quorum en tant qu'utilisateur MofN. Pour plus d'informations sur les utilisateurs du quorum et 2FA, consultez [Authentification par quorum et 2FA dans les AWS CloudHSM clusters à l'aide de l'utilitaire AWS CloudHSM de gestion](quorum-2fa.md).

1. Tapez **y**.

   L’utilitaire CMU confirme l'opération de modification du mot de passe.

# Référence de configuration pour l'authentification à deux facteurs avec utilitaire AWS CloudHSM de gestion
<a name="reference-2fa"></a>

Voici un exemple des propriétés d'authentification à deux facteurs (2FA) du `authdata` fichier pour la demande générée par l'utilitaire de AWS CloudHSM gestion (CMU) et pour vos réponses. 

```
{
    "Version": "1.0",
    "PublicKey": "-----BEGIN PUBLIC KEY----- ... -----END PUBLIC KEY-----",
    "Data": [
        {
            "HsmId": "hsm-lgavqitns2a",
            "Digest": "k5O1p3f6foQRVQH7S8Rrjcau6h3TYqsSdr16A54+qG8=",
            "Signature": "Kkdl ... rkrvJ6Q=="
        },
        {
            "HsmId": "hsm-lgavqitns2a",
            "Digest": "IyBcx4I5Vyx1jztwvXinCBQd9lDx8oQe7iRrWjBAi1w=",
            "Signature": "K1hxy ... Q261Q=="
        }
    ]
}
```

**Données**  
Nœud de niveau supérieur. Contient un nœud subordonné pour chaque HSM du cluster. Apparaît dans les demandes et les réponses pour toutes les commandes 2FA.

**Digest**  
C'est ce que vous devez signer pour fournir l'authentification à deux facteurs. CMU générée dans les demandes pour toutes les commandes 2FA.

**HsmId**  
L'identifiant de votre HSM. Apparaît dans les demandes et les réponses pour toutes les commandes 2FA.

**PublicKey**  
La partie clé publique de la paire de clés que vous avez générée a été insérée sous forme de chaîne au format PEM. Vous le saisissez dans les réponses pour **createUser** et **changePswd**.

**Signature**  
Le résumé signé codé en Base64. Vous le saisissez dans les réponses pour toutes les commandes 2FA.

**Version**  
La version du fichier de données d'authentification au format JSON. Apparaît dans les demandes et les réponses pour toutes les commandes 2FA.

# Utilisation de l'Utilitaire de gestion CloudHSM (CMU) pour gérer l'authentification par quorum (contrôle d'accès M sur N)
<a name="quorum-authentication"></a>

 HSMs Dans votre AWS CloudHSM cluster, l'authentification par quorum est prise en charge, également connue sous le nom de contrôle d'accès M of N. Avec l'authentification par quorum, aucun utilisateur individuel sur le HSM ne peut effectuer d'opérations contrôlées par quorum sur le HSM. À la place, un nombre minimal d'utilisateurs HSM (au moins 2) doivent coopérer pour effectuer ces opérations. Avec l'authentification par quorum, vous pouvez ajouter une couche de protection supplémentaire en demandant l'approbation de plusieurs utilisateurs HSM.

L'authentification par quorum peut contrôler les opérations suivantes :
+ Gestion des utilisateurs HSM par des [responsables du chiffrement (COs)](understanding-users-cmu.md#crypto-officer) — Création et suppression d'utilisateurs HSM, et modification du mot de passe d'un autre utilisateur HSM. Pour de plus amples informations, veuillez consulter [Gestion des utilisateurs avec authentification par quorum activée pour AWS CloudHSM Management Utility](quorum-authentication-crypto-officers.md).

Notez les informations supplémentaires suivantes sur l'utilisation de l'authentification par quorum dans AWS CloudHSM.
+ Un utilisateur HSM peut signer son propre jeton de quorum, c'est-à-dire que l'utilisateur demandeur peut fournir l'une des approbations requises pour l'authentification par quorum.
+ Vous choisissez le nombre minimal d'approbateurs de quorum pour les opérations contrôlées par quorum. Le plus petit nombre que vous pouvez choisir est deux (2), et le plus grand nombre que vous pouvez choisir est huit (8).
+ Le HSM peut stocker jusqu'à 1 024 jetons de quorum. Si le HSM possède déjà 1 024 jetons lorsque vous essayez d'en créer un nouveau, le HSM efface l'un des jetons ayant expiré. Par défaut, les jetons expirent dix minutes après leur création.
+ Le cluster utilise la même clé pour l'authentification par quorum et pour l'authentification à deux facteurs (2FA). Pour plus d'informations sur l'utilisation de l'authentification par quorum et de l'authentification 2FA, consultez [Authentification par quorum et 2FA](quorum-2fa.md).

Les rubriques suivantes fournissent plus d'informations sur l'authentification par quorum dans AWS CloudHSM.

**Topics**
+ [Processus d'authentification par quorum](quorum-authentication-overview.md)
+ [Première configuration](quorum-authentication-crypto-officers-first-time-setup.md)
+ [Gestion des utilisateurs avec quorum (M sur N)](quorum-authentication-crypto-officers.md)
+ [Modifier la valeur minimale.](quorum-authentication-crypto-officers-change-minimum-value.md)

# Processus d'authentification par quorum pour AWS CloudHSM Management Utility
<a name="quorum-authentication-overview"></a>

Les étapes suivantes résument les processus d'authentification par quorum. Pour connaître les étapes et les outils spécifiques, consultez [Gestion des utilisateurs avec authentification par quorum activée pour AWS CloudHSM Management Utility](quorum-authentication-crypto-officers.md).

1. Chaque utilisateur HSM crée une clé asymétrique pour la signature. Il s'en charge en dehors du HSM, en veillant à protéger la clé de manière appropriée.

1. Chaque utilisateur HSM se connecte au HSM et enregistre la partie publique de sa clé de signature (la clé publique) avec le HSM.

1. Lorsqu'un utilisateur HSM veut effectuer une opération contrôlée par quorum, il se connecte au HSM et obtient un *jeton de quorum*.

1. L'utilisateur HSM donne le jeton de quorum à un ou plusieurs autres utilisateurs HSM et demande leur approbation.

1. Les autres utilisateurs HSM approuvent en utilisant leurs clés pour signer de façon chiffrée le jeton de quorum. Cela se produit en dehors du HSM.

1. Lorsque l'utilisateur HSM dispose du nombre requis d'approbations, il se connecte au HSM et donne le jeton de quorum et les approbations (signatures) au HSM.

1. Le HSM utilise les clés publiques enregistrées de chaque signataire pour vérifier les signatures. Si les signatures sont valides, le HSM approuve le jeton.

1. L'utilisateur HSM peut désormais effectuer une opération contrôlée par quorum.

# Configurer l'authentification par quorum pour les responsables de la AWS CloudHSM cryptographie
<a name="quorum-authentication-crypto-officers-first-time-setup"></a>

Les rubriques suivantes décrivent les étapes que vous devez suivre pour configurer votre module de sécurité matériel (HSM) afin que les [responsables du AWS CloudHSM chiffrement (COs)](understanding-users-cmu.md#crypto-officer) puissent utiliser l'authentification par quorum. Vous ne devez effectuer ces étapes qu'une seule fois lorsque vous configurez pour la première fois l'authentification par quorum pour COs. Une fois que vous avez terminé ces étapes, consultez [Gestion des utilisateurs avec authentification par quorum activée pour AWS CloudHSM Management Utility](quorum-authentication-crypto-officers.md).

**Topics**
+ [

## Conditions préalables
](#quorum-crypto-officers-prerequisites)
+ [

## Étape 1. Création et enregistrement d'une clé pour la signature
](#quorum-crypto-officers-create-and-register-key)
+ [

## Étape 2. Définition de la valeur minimale de quorum sur le HSM
](#quorum-crypto-officers-set-quorum-minimum-value)

## Conditions préalables
<a name="quorum-crypto-officers-prerequisites"></a>

Pour comprendre cet exemple, vous devez connaître l'[outil de ligne de commande cloudhsm\$1mgmt\$1util (CMU)](cloudhsm_mgmt_util.md). Dans cet exemple, le AWS CloudHSM cluster en possède deux HSMs, chacune ayant la même COs valeur, comme indiqué dans le résultat suivant de la **listUsers** commande. Pour plus d'informations sur la création d'utilisateurs, consultez [Utilisateurs HSM](manage-hsm-users.md).

```
aws-cloudhsm > listUsers
Users on server 0(10.0.2.14):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                 NO               0               NO
         4              CO              officer2                                 NO               0               NO
         5              CO              officer3                                 NO               0               NO
         6              CO              officer4                                 NO               0               NO
         7              CO              officer5                                 NO               0               NO
Users on server 1(10.0.1.4):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                 NO               0               NO
         4              CO              officer2                                 NO               0               NO
         5              CO              officer3                                 NO               0               NO
         6              CO              officer4                                 NO               0               NO
         7              CO              officer5                                 NO               0               NO
```

## Étape 1. Création et enregistrement d'une clé pour la signature
<a name="quorum-crypto-officers-create-and-register-key"></a>

Pour utiliser l'authentification par quorum, chaque CO doit effectuer *toutes* les étapes suivantes : 

**Topics**
+ [

### Créer une paire de clés RSA
](#mofn-key-pair-create)
+ [

### Créez et signez un jeton d'enregistrement
](#mofn-registration-token)
+ [

### Enregistrez la clé publique avec le HSM
](#mofn-register-key)

### Créer une paire de clés RSA
<a name="mofn-key-pair-create"></a>

Il existe de nombreuses manières différentes de créer et de protéger une paire de clés. Les exemples suivants montrent comment procéder avec [OpenSSL](https://www.openssl.org/).

**Example — Créer une clé privée à l'aide d'OpenSSL**  
L'exemple suivant montre comment utiliser OpenSSL pour créer une clé RSA de 2048 bits, protégée par une phrase secrète. Pour utiliser cet exemple, *officer1.key* remplacez-le par le nom du fichier dans lequel vous souhaitez stocker la clé.  

```
$ openssl genrsa -out <officer1.key> -aes256 2048
        Generating RSA private key, 2048 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)
Enter pass phrase for officer1.key:
Verifying - Enter pass phrase for officer1.key:
```

Générez ensuite la clé publique à l'aide de la clé privée que vous venez de créer.

**Example — Crée une clé publique avec OpenSSL**  
L'exemple suivant montre comment utiliser OpenSSL pour créer une clé publique à partir de la clé privée que vous venez de créer.   

```
$ openssl rsa -in officer1.key -outform PEM -pubout -out officer1.pub
Enter pass phrase for officer1.key:
writing RSA key
```

### Créez et signez un jeton d'enregistrement
<a name="mofn-registration-token"></a>

 Vous créez un jeton et vous le signez avec la clé privée que vous venez de générer à l'étape précédente.

**Example — Crée un jeton**  
Le jeton d'enregistrement est simplement un fichier contenant des données aléatoires ne dépassant pas la taille maximale de 245 octets. Vous signez le jeton avec la clé privée pour démontrer que vous avez accès à la clé privée. La commande suivante utilise echo pour rediriger une chaîne vers un fichier.  

```
$ echo <token to be signed> > officer1.token
```

Signez le jeton et enregistrez-le dans un fichier de signature. Vous aurez besoin du jeton signé, du jeton non signé et de la clé publique pour enregistrer le CO en tant qu'utilisateur du MofN auprès du HSM. 

**Example — Signez le jeton**  
Utilisez OpenSSL et la clé privée pour signer le jeton d'enregistrement et créer le fichier de signature.  

```
$ openssl dgst -sha256 \
    -sign officer1.key \
    -out officer1.token.sig officer1.token
```

### Enregistrez la clé publique avec le HSM
<a name="mofn-register-key"></a>

Après avoir créé une clé, le responsable de chiffrement doit enregistrer la partie publique de la clé (clé publique) avec le HSM.

**Pour enregistrer une clé publique avec le HSM**

1. Utilisez la commande suivante pour démarrer l'outil de ligne de commande cloudhsm\$1mgmt\$1util.

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

1. Utilisez la commande **loginHSM** pour vous connecter aux HSM en tant que CO. Pour de plus amples informations, veuillez consulter [Gestion des utilisateurs HSM avec l'utilitaire de gestion CloudHSM (CMU)](manage-hsm-users-cmu.md).

1. Utilisez la commande **[registerQuorumPubKey](cloudhsm_mgmt_util-registerQuorumPubKey.md)** pour enregistrer la clé publique. Pour plus d'informations, consultez l'exemple suivant ou utilisez la commande **help registerQuorumPubKey**.

**Example - Enregistrer une clé publique avec le HSM**  
L'exemple suivant montre comment utiliser la commande **registerQuorumPubKey** de l'outil de ligne de commande cloudhsm\$1mgmt\$1util pour enregistrer la clé publique d'un responsable de chiffrement avec le HSM. Pour utiliser cette commande, le responsable de chiffrement doit être connecté au HSM. Remplacez les valeurs suivantes par les vôtres :  

```
aws-cloudhsm > registerQuorumPubKey CO <officer1> <officer1.token> <officer1.token.sig> <officer1.pub>
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
registerQuorumPubKey success on server 0(10.0.2.14)
```  
**<officer1.token>**  
Le chemin d'accès à un fichier contenant un jeton d'enregistrement non signé. Peut avoir n'importe quelle donnée aléatoire d'une taille de fichier maximale de 245 octets.   
Obligatoire : oui  
**<officer1.token.sig>**  
Le chemin d'accès à un fichier contenant le hachage signé par le mécanisme SHA256 \$1PKCS du jeton d'enregistrement.  
Obligatoire : oui  
**<officer1.pub>**  
Le chemin d'accès au fichier contenant la clé publique d'une paire de clés asymétriques RSA-2048. Utilisez la clé privée pour signer le jeton d'enregistrement.   
Obligatoire : oui
Une fois que tous ont COs enregistré leurs clés publiques, le résultat de la **listUsers** commande l'indique dans la `MofnPubKey` colonne, comme indiqué dans l'exemple suivant.  

```
aws-cloudhsm > listUsers
Users on server 0(10.0.2.14):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO
Users on server 1(10.0.1.4):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO
```

## Étape 2. Définition de la valeur minimale de quorum sur le HSM
<a name="quorum-crypto-officers-set-quorum-minimum-value"></a>

Pour utiliser l'authentification par quorum COs, un CO doit se connecter au HSM, puis définir la *valeur minimale du quorum*, également appelée *valeur m.* Il s'agit du nombre minimal d'approbations de responsable de chiffrement qui sont nécessaires pour effectuer des opérations de gestion des utilisateurs HSM. Tout commandant du HSM peut définir la valeur minimale du quorum, y compris COs s'il n'a pas enregistré de clé pour la signature. Vous pouvez modifier la valeur minimale de quorum à tout moment ; pour plus d'informations, consultez [Modifier la valeur minimale.](quorum-authentication-crypto-officers-change-minimum-value.md).

**Pour définir la valeur minimale de quorum sur le HSM**

1. Utilisez la commande suivante pour démarrer l'outil de ligne de commande cloudhsm\$1mgmt\$1util.

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

1. Utilisez la commande **loginHSM** pour vous connecter aux HSM en tant que CO. Pour de plus amples informations, veuillez consulter [Gestion des utilisateurs HSM avec l'utilitaire de gestion CloudHSM (CMU)](manage-hsm-users-cmu.md).

1. Utilisez la commande **setMValue** pour définir la valeur minimale de quorum. Pour plus d'informations, consultez l'exemple suivant ou utilisez la commande **help setMValue**.

**Example - Définition de la valeur minimale de quorum sur le HSM**  
Cet exemple utilise une valeur minimale de quorum de deux. Vous pouvez choisir n'importe quelle valeur comprise entre deux (2) et huit (8), jusqu'au nombre total de COs sur le HSM. Dans cet exemple, le HSM en possède six COs, donc la valeur maximale possible est six.  
Pour utiliser l'exemple de commande suivant, remplacez le nombre final (*2*) par la valeur minimale de quorum préférée.  

```
aws-cloudhsm > setMValue 3 <2>
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
Setting M Value(2) for 3 on 2 nodes
```

Dans l'exemple précédent, le premier nombre (3) identifie le *service HSM* dont vous définissez la valeur minimale de quorum.

Le tableau suivant répertorie les identifiants de service HSM ainsi que leurs noms, descriptions et commandes incluses dans le service.


| Identifiant du service | Service Name | Description du service | Commandes HSM | 
| --- | --- | --- | --- | 
| 3 | USER\$1MGMT | Gestion des utilisateurs HSM |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-first-time-setup.html)  | 
| 4 | MISC\$1CO | Service CO divers |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-first-time-setup.html)  | 

Pour obtenir la valeur minimale de quorum pour un service, utilisez la commande **getMValue**, comme dans l'exemple suivant.

```
aws-cloudhsm > getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
```

La sortie de la commande **getMValue** précédente indique que la valeur minimale de quorum pour les opérations de gestion des utilisateurs HSM (service 3) est désormais égale à deux.

Une fois que vous avez terminé ces étapes, consultez [Gestion des utilisateurs avec authentification par quorum activée pour AWS CloudHSM Management Utility](quorum-authentication-crypto-officers.md).

# Gestion des utilisateurs avec authentification par quorum activée pour AWS CloudHSM Management Utility
<a name="quorum-authentication-crypto-officers"></a>

Un [responsable du AWS CloudHSM chiffrement (CO)](understanding-users-cmu.md#crypto-officer) du module de sécurité matériel (HSM) peut configurer l'authentification par quorum pour les opérations suivantes sur le HSM :
+ Création d'utilisateurs HSM
+ Suppression d'utilisateurs HSM
+ Modification du mot de passe d'un autre utilisateur HSM

Une fois que le HSM est configuré pour l'authentification par quorum, il COs ne peut pas effectuer lui-même les opérations de gestion des utilisateurs du HSM. L'exemple suivant montre la sortie lorsqu'un responsable de chiffrement tente de créer un nouvel utilisateur sur le HSM. La commande échoue avec une erreur `RET_MXN_AUTH_FAILED`, ce qui indique que l'authentification par quorum a échoué.

```
aws-cloudhsm > createUser CU user1 password
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
Creating User user1(CU) on 2 nodes
createUser failed: RET_MXN_AUTH_FAILED
creating user on server 0(10.0.2.14) failed

Retry/Ignore/Abort?(R/I/A): A
```

Pour effectuer une opération de gestion d'utilisateur HSM, un responsable de chiffrement doit exécuter les tâches suivantes :

1. [Obtenir un *jeton de quorum*](#quorum-crypto-officers-get-token).

1. [Obtenez les approbations (signatures) des autres COs](#quorum-crypto-officers-get-approval-signatures).

1. [Approuver le jeton sur le HSM](#quorum-crypto-officers-approve-token).

1. [Effectuer l'opération de gestion des utilisateurs HSM](#quorum-crypto-officers-use-token).

Si vous n'avez pas encore configuré le HSM pour l'authentification par quorum COs, faites-le maintenant. Pour de plus amples informations, veuillez consulter [Première configuration](quorum-authentication-crypto-officers-first-time-setup.md).

## Étape 1. Obtention d'un jeton de quorum
<a name="quorum-crypto-officers-get-token"></a>

Tout d'abord, le CO doit utiliser l'outil de ligne de commande cloudhsm\$1mgmt\$1util pour demander un *jeton de quorum*.

**Pour obtenir un jeton de quorum**

1. Utilisez la commande suivante pour démarrer l'outil de ligne de commande cloudhsm\$1mgmt\$1util.

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

1. Utilisez la commande **loginHSM** pour vous connecter aux HSM en tant que CO. Pour de plus amples informations, veuillez consulter [Gestion des utilisateurs HSM avec l'utilitaire de gestion CloudHSM (CMU)](manage-hsm-users-cmu.md).

1. Utilisez la commande **getToken** pour obtenir un jeton de quorum. Pour plus d'informations, consultez l'exemple suivant ou utilisez la commande **help getToken**.

**Example - Obtenir un jeton de quorum.**  
Cet exemple obtient un jeton de quorum pour le responsable de chiffrement avec le nom d'utilisateur officer1 et enregistre le jeton dans un fichier nommé `officer1.token`. Pour utiliser l'exemple de commande, remplacez ces valeurs par les vôtres :  
+ *officer1*— Le nom du commandant qui reçoit le jeton. Il doit s'agir du même responsable de chiffrement que celui qui est connecté au HSM et qui exécute cette commande.
+ *officer1.token*— Nom du fichier à utiliser pour stocker le jeton de quorum.
Dans la commande suivante, `3` identifie le *service* pour lequel vous pouvez utiliser le jeton que vous obtenez. Dans ce cas, le jeton concerne les opérations de gestion des utilisateurs HSM (service 3). Pour de plus amples informations, veuillez consulter [Étape 2. Définition de la valeur minimale de quorum sur le HSM](quorum-authentication-crypto-officers-first-time-setup.md#quorum-crypto-officers-set-quorum-minimum-value).  

```
aws-cloudhsm > getToken 3 officer1 officer1.token
getToken success on server 0(10.0.2.14)
Token:
Id:1
Service:3
Node:1
Key Handle:0
User:officer1
getToken success on server 1(10.0.1.4)
Token:
Id:1
Service:3
Node:0
Key Handle:0
User:officer1
```

## Étape 2. Obtenez des signatures lors de l'approbation COs
<a name="quorum-crypto-officers-get-approval-signatures"></a>

Un commandant qui possède un jeton de quorum doit faire approuver le jeton par un autre COs. Pour donner son approbation, l'autre COs utilise sa clé de signature pour signer cryptographiquement le jeton. Ils le font en dehors du module HSM.

Il existe de nombreuses façons différentes de signer le jeton. L'exemple suivant montre comment procéder avec [OpenSSL](https://www.openssl.org/). Pour utiliser un autre outil de signature, assurez-vous que l'outil utilise la clé privée du responsable de chiffrement (clé de signature) pour signer un hachage SHA-256 du jeton.

**Example — Obtenez des signatures lors de l'approbation COs**  
Dans cet exemple, le CO qui possède le jeton (officer1) a besoin d'au moins deux approbations. Les exemples de commandes suivants montrent comment deux personnes COs peuvent utiliser OpenSSL pour signer cryptographiquement le jeton.  
Dans la première commande, officer1 signe son propre jeton. Pour utiliser les commandes de l'exemple suivant, remplacez ces valeurs par les vôtres :  
+ *officer1.key*et *officer2.key* — Nom du fichier contenant la clé de signature du CO.
+ *officer1.token.sig1*et *officer1.token.sig2* — Nom du fichier à utiliser pour stocker la signature. Assurez-vous de sauvegarder chaque signature dans un fichier différent.
+ *officer1.token*— Nom du fichier contenant le jeton signé par le CO.

```
$ openssl dgst -sha256 -sign officer1.key -out officer1.token.sig1 officer1.token
Enter pass phrase for officer1.key:
```
Dans la commande suivante, officer2 signe le même jeton.  

```
$ openssl dgst -sha256 -sign officer2.key -out officer1.token.sig2 officer1.token
Enter pass phrase for officer2.key:
```

## Étape 3. Approbation du jeton signé sur le HSM
<a name="quorum-crypto-officers-approve-token"></a>

Une fois qu'un commandant a obtenu le nombre minimum d'approbations (signatures) d'autres personnes COs, il doit approuver le jeton signé sur le HSM.

**Pour approuver le jeton signé sur le HSM**

1. Créez un fichier d'approbation de jeton. Pour plus d'informations, consultez l'exemple suivant.

1. Utilisez la commande suivante pour démarrer l'outil de ligne de commande cloudhsm\$1mgmt\$1util.

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

1. Utilisez la commande **loginHSM** pour vous connecter aux HSM en tant que CO. Pour de plus amples informations, veuillez consulter [Gestion des utilisateurs HSM avec l'utilitaire de gestion CloudHSM (CMU)](manage-hsm-users-cmu.md).

1. Utilisez la commande **approveToken** pour approuver le jeton signé, en transmettant le fichier d'approbation du jeton. Pour plus d'informations, consultez l'exemple suivant.

**Example - Création d'un fichier d'approbation de jeton et approbation du jeton signé sur le HSM**  
Le fichier d'approbation de jeton est un fichier texte dans un format particulier que le HSM nécessite. Le fichier contient des informations sur le jeton, ses approbateurs et leurs signatures. L'exemple suivant montre un exemple de fichier d'approbation de jeton.  

```
# For "Multi Token File Path", type the path to the file that contains
# the token. You can type the same value for "Token File Path", but
# that's not required. The "Token File Path" line is required in any
# case, regardless of whether you type a value.
Multi Token File Path = officer1.token;
Token File Path = ;

# Total number of approvals
Number of Approvals = 2;

# Approver 1
# Type the approver's type, name, and the path to the file that
# contains the approver's signature.
Approver Type = 2; # 2 for CO, 1 for CU
Approver Name = officer1;
Approval File = officer1.token.sig1;

# Approver 2
# Type the approver's type, name, and the path to the file that
# contains the approver's signature.
Approver Type = 2; # 2 for CO, 1 for CU
Approver Name = officer2;
Approval File = officer1.token.sig2;
```
Après avoir créé le fichier, le jeton d'approbation CO utilise l'outil de ligne de commande cloudhsm\$1mgmt\$1util pour vous connecter au HSM. Le CO utilise ensuite la commande **approveToken** pour approuver le jeton, comme indiqué dans l'exemple suivant. Remplacez *approval.txt* par le nom du fichier d'approbation du jeton.  

```
aws-cloudhsm > approveToken approval.txt
approveToken success on server 0(10.0.2.14)
approveToken success on server 1(10.0.1.4)
```
Lorsque cette commande réussit, le module HSM a approuvé le jeton de quorum. Pour vérifier le statut d'un jeton, utilisez la commande **listTokens**, comme indiqué dans l'exemple suivant. La sortie de la commande affiche que le jeton a le nombre requis d'approbations.  
La durée de validité du jeton indique la durée pendant laquelle le jeton est assuré de demeurer sur le module HSM. Même après que la durée de validité du jeton s'est écoulée (zéro seconde), vous pouvez continuer d'utiliser le jeton.  

```
aws-cloudhsm > listTokens
=====================
    Server 0(10.0.2.14)
=====================
-------- Token - 0 ----------
Token:
Id:1
Service:3
Node:1
Key Handle:0
User:officer1
Token Validity: 506 sec
Required num of approvers : 2
Current num of approvals : 2
Approver-0: officer1
Approver-1: officer2
Num of tokens = 1

=====================
    Server 1(10.0.1.4)
=====================
-------- Token - 0 ----------
Token:
Id:1
Service:3
Node:0
Key Handle:0
User:officer1
Token Validity: 506 sec
Required num of approvers : 2
Current num of approvals : 2
Approver-0: officer1
Approver-1: officer2
Num of tokens = 1

listTokens success
```

## Étape 4 : Utilisation du jeton pour les opérations de gestion des utilisateurs
<a name="quorum-crypto-officers-use-token"></a>

Une fois qu'un CO possède un jeton avec le nombre requis d'approbations, comme illustré dans la section précédente, le CO peut effectuer l'une des opérations de gestion d'utilisateur HSM suivantes :
+ Créer un utilisateur HSM avec la commande [createUser](cloudhsm_mgmt_util-createUser.md)
+ Supprimer un utilisateur HSM avec la commande **deleteUser**
+ Modifier le mot de passe d'un autre utilisateur HSM avec la commande **changePswd**

Pour plus d'informations sur l'utilisation de ces commandes, consultez [Utilisateurs HSM](manage-hsm-users.md).

Le CO peut utiliser le jeton pour une seule opération. Lorsque cette opération réussit, le jeton n'est plus valide. Pour effectuer une autre opération de gestion de l'utilisateur HSM, le CO doit obtenir un nouveau jeton de quorum, obtenir de nouvelles signatures des approbateurs et approuver le nouveau jeton sur le HSM.

**Note**  
Le jeton MofN n'est valide que tant que votre session de connexion en cours est ouverte. Si vous vous déconnectez de cloudhsm\$1mgmt\$1util ou si la connexion réseau est déconnectée, le jeton n'est plus valide. De même, un jeton autorisé ne peut être utilisé que dans cloudhsm\$1mgmt\$1util, il ne peut pas être utilisé pour s'authentifier dans une autre application.

Dans l'exemple de commande suivant, le CO crée un utilisateur sur le HSM.

```
aws-cloudhsm > createUser CU user1 <password>
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
Creating User user1(CU) on 2 nodes
```

Une fois que la commande précédente a réussi, une commande **listUsers** affiche le nouvel utilisateur.

```
aws-cloudhsm > listUsers
Users on server 0(10.0.2.14):
Number of users found:8

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO
         8              CU              user1                                    NO               0               NO
Users on server 1(10.0.1.4):
Number of users found:8

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO
         8              CU              user1                                    NO               0               NO
```

Si le CO essaie d'effectuer une autre opération de gestion de l'utilisateur HSM, l'opération échoue avec une erreur d'authentification par quorum, comme illustré dans l'exemple suivant.

```
aws-cloudhsm > deleteUser CU user1
Deleting user user1(CU) on 2 nodes
deleteUser failed: RET_MXN_AUTH_FAILED
deleteUser failed on server 0(10.0.2.14)

Retry/rollBack/Ignore?(R/B/I): I
deleteUser failed: RET_MXN_AUTH_FAILED
deleteUser failed on server 1(10.0.1.4)

Retry/rollBack/Ignore?(R/B/I): I
```

La commande **listTokens** montre que le CO n'a pas de jetons approuvés, comme illustré dans l'exemple suivant. Pour effectuer une autre opération de gestion de l'utilisateur HSM, le CO doit obtenir un nouveau jeton de quorum, obtenir de nouvelles signatures des approbateurs et approuver le nouveau jeton sur le HSM.

```
aws-cloudhsm > listTokens
=====================
    Server 0(10.0.2.14)
=====================
Num of tokens = 0

=====================
    Server 1(10.0.1.4)
=====================
Num of tokens = 0

listTokens success
```

# Modifier la valeur minimale du quorum avec l'utilitaire AWS CloudHSM de gestion
<a name="quorum-authentication-crypto-officers-change-minimum-value"></a>

Après avoir [défini la valeur minimale du quorum](quorum-authentication-crypto-officers-first-time-setup.md#quorum-crypto-officers-set-quorum-minimum-value) afin que les [responsables du AWS CloudHSM chiffrement (COs)](understanding-users-cmu.md#crypto-officer) puissent utiliser l'authentification par quorum, vous souhaiterez peut-être modifier la valeur minimale du quorum. Le HSM vous permet de modifier la valeur minimale du quorum uniquement lorsque le nombre d'approbateurs est égal ou supérieur à la valeur minimale du quorum. Par exemple, si la valeur minimale du quorum est de deux, au moins deux COs doivent approuver la modification de la valeur minimale du quorum.

Pour obtenir l'approbation du quorum en vue de modifier la valeur minimale du quorum, vous avez besoin d'un *jeton de quorum* pour la commande **setMValue** (service 4). Pour obtenir un jeton de quorum pour la commande **setMValue** (service 4), la valeur minimale du quorum pour service 4 doit être supérieure à un. Cela signifie qu'avant de pouvoir modifier la valeur minimale du quorum pour COs (service 3), vous devrez peut-être modifier la valeur minimale du quorum pour le service 4.

Le tableau suivant répertorie les identifiants de service HSM ainsi que leurs noms, descriptions et commandes incluses dans le service.


| Identifiant du service | Service Name | Description du service | Commandes HSM | 
| --- | --- | --- | --- | 
| 3 | USER\$1MGMT | Gestion des utilisateurs HSM |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-change-minimum-value.html)  | 
| 4 | MISC\$1CO | Service CO divers |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-change-minimum-value.html)  | 

**Pour modifier la valeur minimale du quorum pour les responsables de chiffrement**

1. Utilisez la commande suivante pour démarrer l'outil de ligne de commande cloudhsm\$1mgmt\$1util.

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

1. Utilisez la commande **loginHSM** pour vous connecter aux HSM en tant que CO. Pour de plus amples informations, veuillez consulter [Gestion des utilisateurs HSM avec l'utilitaire de gestion CloudHSM (CMU)](manage-hsm-users-cmu.md).

1. Utilisez la commande **getMValue** pour obtenir la valeur minimale du quorum pour service 3. Pour plus d'informations, consultez l'exemple suivant.

1. Utilisez la commande **getMValue** pour obtenir la valeur minimale du quorum pour service 4. Pour plus d'informations, consultez l'exemple suivant.

1. Si la valeur minimale du quorum pour service 4 est inférieure à celle pour service 3, utilisez la commande **setMValue** pour modifier la valeur spécifiée pour service 4. Indiquez, pour service 4, une valeur égale ou supérieure à celle utilisée pour service 3. Pour plus d'informations, consultez l'exemple suivant.

1. [Obtenez un *jeton de quorum*](quorum-authentication-crypto-officers.md#quorum-crypto-officers-get-token), en veillant à spécifier le service 4 en tant que service pour lequel vous pouvez utiliser le jeton.

1. [Obtenez les approbations (signatures) des autres COs](quorum-authentication-crypto-officers.md#quorum-crypto-officers-get-approval-signatures).

1. [Approuver le jeton sur le HSM](quorum-authentication-crypto-officers.md#quorum-crypto-officers-approve-token).

1. Utilisez la **setMValue** commande pour modifier la valeur minimale du quorum pour le service 3 (opérations de gestion des utilisateurs effectuées par COs).

**Example - Obtenir des valeurs minimale de quorum et modifier la valeur pour service 4**  
L'exemple de commande suivant montre que la valeur minimale du quorum pour service 3 est actuellement deux.  

```
aws-cloudhsm > getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
```
L'exemple de commande suivant montre que la valeur minimale du quorum pour service 4 est actuellement un.  

```
aws-cloudhsm > getMValue 4
MValue of service 4[MISC_CO] on server 0 : [1]
MValue of service 4[MISC_CO] on server 1 : [1]
```
Pour modifier la valeur minimale du quorum pour service 4, utilisez la commande **setMValue** pour définir une valeur égale ou supérieure à celle utilisée pour service 3. L'exemple suivant définit la valeur minimale du quorum pour service 4 à deux (2), valeur identique à celle définie pour service 3.  

```
aws-cloudhsm > setMValue 4 2
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
Setting M Value(2) for 4 on 2 nodes
```
Les commandes suivantes montrent que la valeur minimale du quorum est désormais deux pour service 3 et service 4.  

```
aws-cloudhsm > getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
```

```
aws-cloudhsm > getMValue 4
MValue of service 4[MISC_CO] on server 0 : [2]
MValue of service 4[MISC_CO] on server 1 : [2]
```