Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Risoluzione di problemi di creazione dei cluster
Quando crei un cluster, AWS CloudHSM; crea un ruolo legato al servizio AWSServiceRoleForCloudHSM, se tale ruolo non esiste già. Se AWS CloudHSM non è in grado di creare un ruolo legato al servizio, il tuo tentativo di creazione del cluster potrebbe non andare a buon fine.
Questo argomento spiega come risolvere i problemi più comuni per creare un cluster correttamente. Questo ruolo deve essere creato solo una volta. Dopo aver creato il ruolo legato al servizio nel tuo account, puoi utilizzare uno qualsiasi dei metodi supportati per creare e gestire ulteriori cluster.
Le sezioni che seguono propongono dei suggerimenti per risolvere i problemi di mancata creazione dei cluster correlati al ruolo legato al servizio. Se anche seguendo i suggerimenti non dovessi riuscire a creare un cluster, contatta AWS Support
Argomenti
Aggiungere l'autorizzazione mancante
Per creare un ruolo legato al servizio, l'utente deve disporre dell'autorizzazione iam:CreateServiceLinkedRole. Se l'utente IAM che desidera creare il cluster non dispone di questa autorizzazione, la procedura di creazione del cluster non va a buon fine quando tenta di creare il ruolo legato al servizio nel tuo account AWS.
Quando la mancanza di un'autorizzazione determina un errore, il messaggio di errore ripoterà il seguente testo.
This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.
Per risolvere l'errore, assegnare all'utente IAM che sta tentando di creare il cluster l'autorizzazione AdministratorAccess o aggiungere l'autorizzazione iam:CreateServiceLinkedRole alla policy IAM dell'utente. Per istruzioni, consulta Aggiunta di autorizzazioni a un utente nuovo o esistente.
Quindi tenta nuovamente di creare il cluster.
Creare manualmente il ruolo legato al servizio
È possibile utilizzare la console IAM, la CLI o l'API per creare il ruolo legato al servizio AWSServiceRoleForCloudHSM. Per ulteriori informazioni, consulta Creazione di un ruolo collegato ai servizi nella Guida per l'utente IAM.
Utilizzare un utente non federato
Gli utenti federati, le cui credenziali sono originate al di fuori di AWS, possono eseguire molte delle attività di un utente non federato. Tuttavia, AWS non consente agli utenti di effettuare chiamate API per creare un ruolo legato al servizio da un endpoint federato.
Per risolvere questo problema, crea un utente non federato con l'autorizzazione iam:CreateServiceLinkedRole oppure concedi a un utente non federato esistente l'autorizzazione iam:CreateServiceLinkedRole. Quindi invita l'utente a creare un cluster da AWS CLI. Questa operazione crea un ruolo collegato al servizio nel tuo account.
Dopo la creazione del ruolo legato al servizio, se preferisci, puoi eliminare il cluster creato dall'utente non federato. L'eliminazione del cluster non ha effetti sul ruolo. Pertanto qualsiasi utente con le autorizzazioni richieste, inclusi gli utenti federati, può creare cluster AWS CloudHSM nel tuo account.
Per verificare che il ruolo sia stato creato, apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
$aws iam get-role --role-name AWSServiceRoleForCloudHSM{ "Role": { "Description": "Role for CloudHSM service operations", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "cloudhsm.amazonaws.com" } } ] }, "RoleId": "AROAJ4I6WN5QVGG5G7CBY", "CreateDate": "2017-12-19T20:53:12Z", "RoleName": "AWSServiceRoleForCloudHSM", "Path": "/aws-service-role/cloudhsm.amazonaws.com/", "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM" } }
