Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Risoluzione degli errori di creazione dei AWS CloudHSM cluster
Quando si crea un cluster, AWS CloudHSM crea il ruolo AWSServiceRoleForCloudHSM collegato al servizio, se il ruolo non esiste già. Se AWS CloudHSM non riesci a creare il ruolo collegato al servizio, il tentativo di creare un cluster potrebbe fallire.
Questo argomento spiega come risolvere i problemi più comuni per creare un cluster correttamente. Questo ruolo deve essere creato solo una volta. Dopo aver creato il ruolo legato al servizio nel tuo account, puoi utilizzare uno qualsiasi dei metodi supportati per creare e gestire ulteriori cluster.
Le sezioni che seguono propongono dei suggerimenti per risolvere i problemi di mancata creazione dei cluster correlati al ruolo legato al servizio. Se anche seguendo i suggerimenti non dovessi riuscire a creare un cluster, contatta AWS Support
Argomenti
Aggiungere l'autorizzazione mancante
Per creare un ruolo legato al servizio, l'utente deve disporre dell'autorizzazione iam:CreateServiceLinkedRole. Se l'IAMutente che sta creando il cluster non dispone di questa autorizzazione, il processo di creazione del cluster non riesce quando tenta di creare il ruolo collegato al servizio nell'account. AWS
Quando la mancanza di un'autorizzazione determina un errore, il messaggio di errore ripoterà il seguente testo.
This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.
Per risolvere questo errore, concedi l'AdministratorAccessautorizzazione IAM all'utente che sta creando il cluster o aggiungi l'iam:CreateServiceLinkedRoleautorizzazione alla politica dell'IAMutente. Per istruzioni, consulta Aggiunta di autorizzazioni a un utente nuovo o esistente.
Quindi tenta nuovamente di creare il cluster.
Creare manualmente il ruolo legato al servizio
È possibile utilizzare la IAM console o API creare il ruolo AWSServiceRoleForCloudHSM collegato al servizio. CLI Per ulteriori informazioni, consulta Creazione di un ruolo collegato ai servizi nella Guida per l'utente. IAM
Utilizzare un utente non federato
Gli utenti federati, le cui credenziali hanno origine esterna a AWS, possono eseguire molte delle attività di un utente non federato. Tuttavia, AWS non consente agli utenti di effettuare API chiamate per creare un ruolo collegato al servizio da un endpoint federato.
Per risolvere questo problema, crea un utente non federato con l'autorizzazione iam:CreateServiceLinkedRole oppure concedi a un utente non federato esistente l'autorizzazione iam:CreateServiceLinkedRole. Quindi invita l'utente a creare un cluster da AWS CLI. Questa operazione crea un ruolo collegato al servizio nel tuo account.
Dopo la creazione del ruolo legato al servizio, se preferisci, puoi eliminare il cluster creato dall'utente non federato. L'eliminazione del cluster non ha effetti sul ruolo. Successivamente, qualsiasi utente con le autorizzazioni richieste, inclusi gli utenti federati, può creare cluster nel tuo account. AWS CloudHSM
Per verificare che il ruolo sia stato creato, apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/
$aws iam get-role --role-name AWSServiceRoleForCloudHSM{ "Role": { "Description": "Role for CloudHSM service operations", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "cloudhsm.amazonaws.com" } } ] }, "RoleId": "AROAJ4I6WN5QVGG5G7CBY", "CreateDate": "2017-12-19T20:53:12Z", "RoleName": "AWSServiceRoleForCloudHSM", "Path": "/aws-service-role/cloudhsm.amazonaws.com/", "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM" } }
