AWS CloudHSM L'utente del Client SDK 5 contiene valori non coerenti - AWS CloudHSM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS CloudHSM L'utente del Client SDK 5 contiene valori non coerenti

Il user list comando in AWS CloudHSM Client SDK 5 restituisce un elenco di tutti gli utenti e le proprietà degli utenti nel cluster. Se una delle proprietà di un utente presenta il valore "incoerente", tale utente non è sincronizzato nel cluster. Ciò significa che l'utente esiste con proprietà diverse su diversi HSMs elementi del cluster. In base a quale proprietà è incoerente, è possibile effettuare diverse azioni di riparazione.

La tabella seguente descrive la procedura per risolvere le incoerenze di un singolo utente. Se un singolo utente presenta varie incoerenze, risolvile seguendo questi passaggi dall'alto verso il basso. Se vari utenti presentano incoerenze, effettua i passaggi per ciascun utente, risolvendo interamente le incoerenze per un utente prima di passare a quello successivo.

Nota

Per eseguire la procedura, l'ideale sarebbe effettuare l'accesso come amministratore. Se il tuo account amministratore è incoerente, effettua l'accesso come amministratore e segui la procedura, poi ripeti i passaggi finché tutte le proprietà non saranno coerenti. Una volta che il tuo account amministratore è coerente, puoi continuare a utilizzarlo per sincronizzare altri utenti del cluster.

Proprietà incoerente Output esemplificativo dell'elenco di utenti Implicazione Metodo di ripristino
Il "ruolo" dell'utente è "incoerente" 
{
"username": 
"test_user",    
"role": "inconsistent",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "full"
}
 Questo utente è un amministratore CryptoUser su alcuni HSMs e un amministratore su altriHSMs. Ciò può accadere se due SDKs tentano di creare lo stesso utente, contemporaneamente, con ruoli diversi. È necessario rimuovere questo utente e ricrearlo con il ruolo desiderato.

  1. Effettua l'accesso come amministratore.

  2. Elimina l'utente su tutti: HSMs

    user delete --username <user's name> --role admin

    user delete --username <user's name> --role crypto-user

  3. Crea l'utente con il ruolo desiderato:

    user create --username <user's name> --role <desired role>
La "cluster-coverage" dell'utente è "incoerente" 
{
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "inconsistent"
}

Questo utente esiste HSMs in un sottoinsieme del cluster. Ciò può accadere se un utente ha avuto successo user create parzialmente o se ha avuto successo parzialmente. user delete

È necessario completare l'operazione precedente, creando o rimuovendo l'utente dal cluster.

Se l'utente non dovrebbe esistere, segui questa procedura:

  1. Effettua l'accesso come amministratore.

  2. Eseguire il comando:

    user delete --username<user's name> --role admin

  3. Ora esegui il comando seguente:

    user delete --username<user's name> --role crypto-user

Se l'utente dovrebbe esistere, segui questa procedura:

  1. Effettua l'accesso come amministratore.

  2. Esegui il comando seguente:

    user create --username <user's name> --role <desired role>

Il parametro "bloccato" dell'utente è "incoerente" o "true" 
{
"username": 
"test_user",    
"role": "crypto-user",    
"locked": inconsistent,    
"mfa": [],     
"cluster-coverage": "full"
}

Questo utente è bloccato su un sottoinsieme di. HSMs

Questo può accadere se un utente utilizza la password sbagliata e si connette solo a un sottoinsieme del HSMs cluster.

È necessario modificare le credenziali dell'utente per garantire la coerenza in tutto il cluster.

Se l'utente ha effettuato l'MFAattivazione, procedi nel seguente modo:

  1. Effettua l'accesso come amministratore.

  2. Esegui il seguente comando per disattivarlo MFA temporaneamente:

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. Cambia la password dell'utente in modo che possa accedere a tuttiHSMs:

    user change-password --username <user's name> --role <desired role>

Se MFA deve essere attiva per l'utente, procedi nel seguente modo:

  1. Fai accedere l'utente e riattivarlo MFA (ciò richiederà che firmi i token e fornisca la propria chiave pubblica in un PEM file):

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>

MFAlo stato è «incoerente» 
{    
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [
  {            
   "strategy": "token-sign",
   "status": "inconsistent"
   }    
],     
"cluster-coverage": "full"
}

Questo utente ha MFA flag diversi su diversi punti del HSMs cluster.

Ciò può accadere se un'MFAoperazione viene completata solo su un sottoinsieme di. HSMs

È necessario reimpostare la password dell'utente e consentirne la MFA riattivazione.

Se l'utente ha effettuato l'MFAattivazione, procedi nel seguente modo:

  1. Effettua l'accesso come amministratore.

  2. Esegui il seguente comando per disattivarlo MFA temporaneamente:

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. Dovrai inoltre modificare la password dell'utente in modo che possa accedere a tuttiHSMs:

    user change-password --username <user's name> --role <desired role>

Se MFA deve essere attiva per l'utente, segui questi passaggi:

  1. Fai accedere l'utente e riattivarlo MFA (ciò richiederà che firmi i token e fornisca la propria chiave pubblica in un PEM file):

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>