AWS CloudHSM L'utilisateur du client SDK 5 contient des valeurs incohérentes - AWS CloudHSM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS CloudHSM L'utilisateur du client SDK 5 contient des valeurs incohérentes

La user list commande dans AWS CloudHSM Client SDK 5 renvoie une liste de tous les utilisateurs et de leurs propriétés dans votre cluster. Si l'une des propriétés d'un utilisateur possède la valeur « incohérente », cet utilisateur n'est pas synchronisé au sein de votre cluster. Cela signifie que l'utilisateur existe avec des propriétés différentes sur différents HSMs éléments du cluster. En fonction de la propriété incohérente, différentes étapes de réparation peuvent être effectuées.

Le tableau suivant indique les étapes permettant de résoudre les incohérences pour un seul utilisateur. Si un même utilisateur présente plusieurs incohérences, résolvez-les en suivant ces étapes de haut en bas. Si plusieurs utilisateurs présentent des incohérences, parcourez cette liste pour chaque utilisateur, en résolvant complètement les incohérences pour cet utilisateur avant de passer au suivant.

Note

Pour effectuer ces étapes, vous devez idéalement être connecté en tant qu'administrateur. Si votre compte administrateur n'est pas cohérent, suivez ces étapes en vous connectant à l'administrateur et en répétant les étapes jusqu'à ce que toutes les propriétés soient cohérentes. Une fois que votre compte administrateur est cohérent, vous pouvez continuer à utiliser cet administrateur pour synchroniser les autres utilisateurs du cluster.

Propriété incohérente Exemple de sortie d'une liste d'utilisateurs Implication Méthode de récupération
Le « rôle » de l'utilisateur est « incohérent » 
{
"username": 
"test_user",    
"role": "inconsistent",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "full"
}
 Cet utilisateur est un CryptoUser sur certainsHSMs, un administrateur sur d'autresHSMs. Cela peut se produire si deux SDKs personnes tentent de créer le même utilisateur, en même temps, avec des rôles différents. Vous devez supprimer cet utilisateur et le recréer avec le rôle souhaité.

  1. Connectez-vous en tant qu'administrateur.

  2. Supprimer l'utilisateur sur tous HSMs :

    user delete --username <user's name> --role admin

    user delete --username <user's name> --role crypto-user

  3. Créez l'utilisateur avec le rôle souhaité :

    user create --username <user's name> --role <desired role>
La « couverture du cluster » de l'utilisateur est « incohérente » 
{
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "inconsistent"
}

Cet utilisateur existe sur un sous-ensemble du cluster. Cela peut se produire HSMs en cas de réussite user create partielle ou partielle. user delete

Vous devez terminer votre opération précédente, en créant ou en supprimant cet utilisateur de votre cluster.

Si l'utilisateur ne doit pas exister, procédez comme suit :

  1. Connectez-vous en tant qu'administrateur.

  2. Exécutez cette commande :

    user delete --username<user's name> --role admin

  3. Maintenant, exécutez la commande suivante :

    user delete --username<user's name> --role crypto-user

Si l'utilisateur doit exister, procédez comme suit :

  1. Connectez-vous en tant qu'administrateur.

  2. Exécutez la commande suivante :

    user create --username <user's name> --role <desired role>

Le paramètre « verrouillé » de l'utilisateur est « incohérent » ou « vrai » 
{
"username": 
"test_user",    
"role": "crypto-user",    
"locked": inconsistent,    
"mfa": [],     
"cluster-coverage": "full"
}

Cet utilisateur est bloqué sur un sous-ensemble deHSMs.

Cela peut se produire si un utilisateur utilise le mauvais mot de passe et se connecte uniquement à un sous-ensemble du HSMs cluster.

Vous devez modifier les informations d'identification de l'utilisateur pour garantir la cohérence au sein du cluster.

Si l'utilisateur l'a MFA activé, procédez comme suit :

  1. Connectez-vous en tant qu'administrateur.

  2. Exécutez la commande suivante pour la désactiver MFA temporairement :

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. Modifiez le mot de passe de l'utilisateur pour qu'il puisse se connecter à tous HSMs :

    user change-password --username <user's name> --role <desired role>

S'MFAil doit être activé pour l'utilisateur, procédez comme suit :

  1. Demandez à l'utilisateur de se connecter et de le réactiver MFA (cela l'obligera à signer des jetons et à fournir sa clé publique dans un PEM fichier) :

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>

MFAle statut est « incohérent » 
{    
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [
  {            
   "strategy": "token-sign",
   "status": "inconsistent"
   }    
],     
"cluster-coverage": "full"
}

Cet utilisateur possède différents MFA drapeaux sur différents HSMs éléments du cluster.

Cela peut se produire si une MFA opération ne s'est terminée que sur un sous-ensemble deHSMs.

Vous devez réinitialiser le mot de passe de l'utilisateur et lui permettre de le réactiverMFA.

Si l'utilisateur l'a MFA activé, procédez comme suit :

  1. Connectez-vous en tant qu'administrateur.

  2. Exécutez la commande suivante pour la désactiver MFA temporairement :

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. Vous devrez également modifier le mot de passe de l'utilisateur afin qu'il puisse se connecter à tous HSMs :

    user change-password --username <user's name> --role <desired role>

S'MFAil doit être activé pour l'utilisateur, procédez comme suit :

  1. Demandez à l'utilisateur de se connecter et de le réactiver MFA (cela l'obligera à signer des jetons et à fournir sa clé publique dans un PEM fichier) :

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>