AWS CloudHSM クライアント SDK 5 ユーザーには一貫性のない値が含まれています - AWS CloudHSM

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM クライアント SDK 5 ユーザーには一貫性のない値が含まれています

AWS CloudHSM Client 5 SDK の user list コマンドは、クラスター内のすべてのユーザーとユーザープロパティのリストを返します。ユーザーのプロパティに「inconsistent」という値が付いているものがある場合、そのユーザーはクラスター全体で同期されません。つまり、クラスターHSMs内の異なる に異なるプロパティを持つユーザーが存在します。どのプロパティに一貫性がないかによって、異なる修復手順を取ることができます。

以下の表には、1 人のユーザーの不整合を解決する手順が記載されています。1 人のユーザーに複数の不整合がある場合は、以下の手順を上から順に実行して解決してください。不整合があるユーザーが複数いる場合は、ユーザーごとにこのリストを確認し、そのユーザーの不整合を完全に解決してから次のユーザーに進みます。

注記

これらの手順を実行するには、管理者としてログインするのが理想的です。管理者アカウントに一貫性がない場合は、管理者にログインし、すべてのプロパティが一致するまで手順を繰り返してください。管理者アカウントの一貫性が保たれたら、その管理者を使用してクラスター内の他のユーザーを同期できます。

プロパティに一貫性がありません ユーザーリストの出力例 影響 復旧方法
ユーザーの「役割」に「一貫性がない」 
{
"username": 
"test_user",    
"role": "inconsistent",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "full"
}
 このユーザーは一部の CryptoUser では でありHSMs、他の では 管理者ですHSMs。これは、異なるロールを持つ同じユーザーを 2 回同時に作成SDKsしようとすると発生する可能性があります。このユーザーを削除し、目的のロールで再作成する必要があります。

  1. 管理者としてログインします。

  2. すべての でユーザーを削除しますHSMs。

    user delete --username <user's name> --role admin

    user delete --username <user's name> --role crypto-user

  3. 目的のロールを持つユーザーを作成します。

    user create --username <user's name> --role <desired role>
ユーザーの「クラスターカバレッジ」は「一貫性がない」 
{
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "inconsistent"
}

このユーザーは、クラスターHSMs内の のサブセットに存在します。これは、 がuser create部分的に成功した場合、または がuser delete部分的に成功した場合に発生する可能性があります。

このユーザーをクラスターから作成または削除して、前のオペレーションを完了する必要があります。

ユーザーが存在しないはずの場合は、以下の手順に従ってください。

  1. 管理者としてログインします。

  2. 次のコマンドを実行します。

    user delete --username<user's name> --role admin

  3. 次のコマンドを実行します。

    user delete --username<user's name> --role crypto-user

そのユーザーが存在しているはずなら、以下の手順に従ってください。

  1. 管理者としてログインします。

  2. 次のコマンドを実行します。

    user create --username <user's name> --role <desired role>

ユーザーの「ロック済み」パラメータが「不整合」または「true」です 
{
"username": 
"test_user",    
"role": "crypto-user",    
"locked": inconsistent,    
"mfa": [],     
"cluster-coverage": "full"
}

このユーザーは のサブセットでロックアウトされていますHSMs。

これは、ユーザーが間違ったパスワードを使用し、クラスターHSMs内の のサブセットにのみ接続した場合に発生する可能性があります。

クラスター全体で一貫性を持たせるには、ユーザーの認証情報を変更する必要があります。

ユーザーがMFAアクティブ化されている場合は、次のステップに従います。

  1. 管理者としてログインします。

  2. を一時的に非アクティブ化するには、次のコマンドを実行しますMFA。

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. ユーザーのパスワードを変更して、すべての にログインできるようにしますHSMs。

    user change-password --username <user's name> --role <desired role>

ユーザーに対して がアクティブになっているMFA場合は、次の手順に従います。

  1. ユーザーにログインして再度有効にします MFA (これには、トークンに署名し、PEMファイルにパブリックキーを指定する必要があります)。

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>

MFA ステータスは「不整合」です 
{    
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [
  {            
   "strategy": "token-sign",
   "status": "inconsistent"
   }    
],     
"cluster-coverage": "full"
}

このユーザーには、クラスターHSMs内の異なる に異なるMFAフラグがあります。

これは、MFAオペレーションが のサブセットでのみ完了した場合に発生する可能性がありますHSMs。

ユーザーのパスワードをリセットし、 の再有効化を許可する必要がありますMFA。

ユーザーがMFAアクティブ化されている場合は、次のステップに従います。

  1. 管理者としてログインします。

  2. を一時的に非アクティブ化するには、次のコマンドを実行しますMFA。

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. また、すべての にログインできるように、ユーザーのパスワードを変更する必要がありますHSMs。

    user change-password --username <user's name> --role <desired role>

ユーザーに対して がアクティブになっているMFA場合は、次の手順に従います。

  1. ユーザーにログインして再度有効にします MFA (これには、トークンに署名し、PEMファイルにパブリックキーを指定する必要があります)。

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>