本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 CloudHSM CLI 管理仲裁身份验证(M of N 访问控制) AWS CloudHSM 集群中的硬件安全模块 (HSMs) 支持法定身份验证,也称为 M of N 访问控制。对于仲裁身份验证,HSM 上的单个用户不能执行仲裁控制型操作。必须有最少数量 (至少 2 个) 的 HSM 用户合作才能执行这些操作。仲裁身份验证通过要求多个 HSM 用户批准增加一层额外的保护。 仲裁身份验证可以控制以下操作: + [加密用户](understanding-users.md#crypto-user-chsm-cli)的 HSM 密钥使用和管理:使用密钥创建签名,或者包装、解包、共享、取消共享和设置密钥的属性。 **重要注意事项** + HSM 用户可为自己的仲裁令牌签名,也就是说,请求用户可提供仲裁身份验证所需的批准之一。 + 为仲裁控制型操作选择最小数量的仲裁审批者。您可以选择的最小数字是二(2),您可以选择的最大数字是八(8)。 + HSM 最多可以存储 1,024 个法定代币。如果您尝试创建新令牌时,HSM 已有 1,024 个令牌,则 HSM 会清除其中一个过期的令牌。默认情况下,令牌将在创建 10 分钟后过期。 + 如果启用了多重身份验证(MFA),则集群将使用同一密钥进行仲裁身份验证和 MFA。有关使用仲裁身份验证和 MFA 的更多信息,请参阅[使用 CloudHSM CLI 管理 MFA](login-mfa-token-sign.md)。 + 针对每项管理服务,每个 HSM 一次只能包含一个令牌,但针对每项加密用户服务,每个 HSM 一次可以包含多个令牌。 下列主题提供了有关 AWS CloudHSM中的仲裁身份验证的更多信息。 **Topics** + [CloudHSM CLI 的仲裁身份验证过程](key-quorum-auth-chsm-cli-overview.md) + [使用 CloudHSM CLI 进行法定身份验证支持的 AWS CloudHSM 服务名称和类型](key-quorum-auth-chsm-cli-service-names.md) + [使用 CloudHSM CLI 为 AWS CloudHSM 加密用户设置法定身份验证](key-quorum-auth-chsm-cli-first-time.md) + [使用 AWS CloudHSM CloudHSM CLI 时启用法定身份验证的密钥管理和使用](key-quorum-auth-chsm-cli-crypto-user.md)