AWS CloudHSM Klien SDK 5 pengguna berisi nilai yang tidak konsisten - AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS CloudHSM Klien SDK 5 pengguna berisi nilai yang tidak konsisten

user listPerintah di AWS CloudHSM Client SDK 5 mengembalikan daftar semua pengguna, dan properti pengguna, di cluster Anda. Jika salah satu properti pengguna memiliki nilai "tidak konsisten “, pengguna ini tidak disinkronkan di seluruh cluster Anda. Ini berarti bahwa pengguna ada dengan properti yang berbeda pada yang berbeda HSMs di cluster. Berdasarkan properti mana yang tidak konsisten, langkah-langkah perbaikan yang berbeda dapat diambil.

Tabel berikut mencakup langkah-langkah untuk mengatasi ketidakkonsistenan untuk satu pengguna. Jika satu pengguna memiliki beberapa inkonsistensi, selesaikan dengan mengikuti langkah-langkah ini dari atas ke bawah. Jika ada beberapa pengguna dengan inkonsistensi, kerjakan daftar ini untuk setiap pengguna, selesaikan sepenuhnya inkonsistensi untuk pengguna tersebut sebelum melanjutkan ke yang berikutnya.

catatan

Untuk melakukan langkah-langkah ini, idealnya Anda harus masuk sebagai admin. Jika akun admin Anda tidak konsisten, lakukan langkah-langkah ini masuk dengan admin dan ulangi langkah-langkahnya hingga semua properti konsisten. Setelah akun admin Anda konsisten, Anda dapat melanjutkan untuk menggunakan admin tersebut untuk menyinkronkan pengguna lain di cluster.

Properti yang tidak konsisten Contoh output dari daftar pengguna Implikasi Metode pemulihan
“Peran” pengguna “tidak konsisten” 
{
"username": 
"test_user",    
"role": "inconsistent",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "full"
}
 Pengguna ini adalah CryptoUser pada beberapaHSMs, dan Admin di sisi lainHSMs. Ini dapat terjadi jika dua SDKs upaya untuk membuat pengguna yang sama, pada saat yang sama, dengan peran yang berbeda.Anda harus menghapus pengguna ini, dan membuatnya kembali dengan peran yang diinginkan.

  1. Login sebagai admin

  2. Hapus pengguna di semuaHSMs:

    user delete --username <user's name> --role admin

    user delete --username <user's name> --role crypto-user

  3. Buat pengguna dengan peran yang diinginkan:

    user create --username <user's name> --role <desired role>
“Cakupan cluster” pengguna “tidak konsisten” 
{
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "inconsistent"
}

Pengguna ini ada pada subset HSMs di cluster.Hal ini dapat terjadi jika sebagian berhasil, atau jika user create sebagian berhasil. user delete

Anda harus menyelesaikan operasi sebelumnya, baik membuat atau menghapus pengguna ini dari cluster Anda.

Jika pengguna seharusnya tidak ada, ikuti langkah-langkah ini:

  1. Login sebagai admin

  2. Jalankan perintah ini:

    user delete --username<user's name> --role admin

  3. Sekarang, jalankan perintah berikut:

    user delete --username<user's name> --role crypto-user

Jika pengguna harus ada, ikuti langkah-langkah ini:

  1. Login sebagai admin

  2. Jalankan perintah berikut:

    user create --username <user's name> --role <desired role>

Parameter “terkunci” pengguna “tidak konsisten” atau “benar” 
{
"username": 
"test_user",    
"role": "crypto-user",    
"locked": inconsistent,    
"mfa": [],     
"cluster-coverage": "full"
}

Pengguna ini dikunci pada subset. HSMs

Ini bisa terjadi jika pengguna menggunakan kata sandi yang salah dan hanya terhubung ke subset HSMs di cluster.

Anda harus mengubah kredensi pengguna agar konsisten di seluruh cluster.

Jika pengguna telah MFA mengaktifkan, ikuti langkah-langkah ini:

  1. Login sebagai admin

  2. Jalankan perintah berikut untuk menonaktifkan MFA sementara:

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. Ubah kata sandi pengguna sehingga mereka dapat masuk ke semuaHSMs:

    user change-password --username <user's name> --role <desired role>

Jika MFA harus aktif untuk pengguna, ikuti langkah-langkah berikut:

  1. Minta pengguna masuk dan aktifkan kembali MFA (ini akan mengharuskan mereka untuk menandatangani token dan memberikan kunci publik mereka dalam sebuah PEM file):

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>

MFAStatus adalah “tidak konsisten” 
{    
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [
  {            
   "strategy": "token-sign",
   "status": "inconsistent"
   }    
],     
"cluster-coverage": "full"
}

Pengguna ini memiliki MFA flag yang berbeda pada yang berbeda HSMs di cluster.

Hal ini dapat terjadi jika MFA operasi hanya selesai pada subset. HSMs

Anda harus mengatur ulang kata sandi pengguna, dan memungkinkan mereka untuk mengaktifkan kembaliMFA.

Jika pengguna telah MFA mengaktifkan, ikuti langkah-langkah ini:

  1. Login sebagai admin

  2. Jalankan perintah berikut untuk menonaktifkan MFA sementara:

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. Anda juga perlu mengubah kata sandi pengguna sehingga mereka dapat masuk ke semuaHSMs:

    user change-password --username <user's name> --role <desired role>

Jika MFA harus aktif untuk pengguna, ikuti langkah-langkah berikut:

  1. Minta pengguna masuk dan aktifkan kembali MFA (ini akan mengharuskan mereka untuk menandatangani token dan memberikan kunci publik mereka dalam sebuah PEM file):

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>