AWS CloudHSM クライアント SDK 5 ユーザーに一貫性のない値が含まれている

フォーカスモード

AWS CloudHSM クライアント SDK 5 ユーザーに一貫性のない値が含まれている - AWS CloudHSM

AWS CloudHSM クライアント SDK 5 の user list コマンドは、クラスター内のすべてのユーザーとユーザープロパティのリストを返します。ユーザーのプロパティに「inconsistent」という値が付いているものがある場合、そのユーザーはクラスター全体で同期されません。つまり、そのユーザーはクラスター内の異なる HSM に異なるプロパティで存在することになります。どのプロパティに一貫性がないかによって、異なる修復手順を取ることができます。

以下の表には、1 人のユーザーの不整合を解決する手順が記載されています。1 人のユーザーに複数の不整合がある場合は、以下の手順を上から順に実行して解決してください。不整合があるユーザーが複数いる場合は、ユーザーごとにこのリストを確認し、そのユーザーの不整合を完全に解決してから次のユーザーに進みます。

注記

これらの手順を実行するには、管理者としてログインするのが理想的です。管理者アカウントに一貫性がない場合は、管理者にログインし、すべてのプロパティが一致するまで手順を繰り返してください。管理者アカウントの一貫性が保たれたら、その管理者を使用してクラスター内の他のユーザーを同期できます。

プロパティに一貫性がありません	ユーザーリストの出力例	影響	復旧方法
ユーザーの「役割」に「一貫性がない」	`{ "username": "test_user", "role": "inconsistent", "locked": "false", "mfa": [], "cluster-coverage": "full" }`	このユーザーは、一部の HSM では CryptoUser であり、他の HSM では管理者です。これは、2 つの SDK が同じユーザーを、異なるロールで同時に作成しようとした場合に発生する可能性があります。このユーザーを削除し、目的のロールで再作成する必要があります。	管理者としてログインします。すべての HSM のユーザーを削除します。 user delete --username `<user's name>` --role admin user delete --username `<user's name>` --role crypto-user 目的のロールを持つユーザーを作成します。 user create --username `<user's name>` --role `<desired role>`
ユーザーの「クラスターカバレッジ」は「一貫性がない」	`{ "username": "test_user", "role": "crypto-user", "locked": "false", "mfa": [], "cluster-coverage": "inconsistent" }`	このユーザーはクラスター内の HSM のサブセットに存在します。これは、user create が部分的に成功した場合や、user delete が部分的に成功した場合に発生する可能性があります。このユーザーをクラスターから作成または削除して、前のオペレーションを完了する必要があります。	ユーザーが存在しないはずの場合は、以下の手順に従ってください。管理者としてログインします。次のコマンドを実行します。 user delete --username`<user's name>` --role admin 次のコマンドを実行します。 user delete --username`<user's name>` --role crypto-user そのユーザーが存在しているはずなら、以下の手順に従ってください。管理者としてログインします。次のコマンドを実行してください。 user create --username `<user's name>` --role `<desired role>`
ユーザーの「ロック済み」パラメータが「不整合」または「true」です	`{ "username": "test_user", "role": "crypto-user", "locked": inconsistent, "mfa": [], "cluster-coverage": "full" }`	このユーザーは HSM のサブセットでロックアウトされています。これは、ユーザーが間違ったパスワードを使用し、クラスター内の HSM のサブセットにのみ接続した場合に発生する可能性があります。クラスター全体で一貫性を持たせるには、ユーザーの認証情報を変更する必要があります。	ユーザーが MFA を有効にしている場合は、以下の手順で行います。管理者としてログインします。次のコマンドを実行して、MFA を一時的に無効にします。 user change-mfa token-sign --username `<user's name>` --role `<desired role>` --disable すべての HSM にログインできるようにユーザーのパスワードを変更します。 user change-password --username `<user's name>` --role `<desired role>` ユーザーの MFA を有効にする必要がある場合は、以下の手順で行います。ユーザーにログインして MFA を再度有効にしてもらいます (その場合、ユーザーはトークンに署名し、パブリックキーを PEM ファイルに提供する必要があります)。 user change-mfa token-sign --username `<user's name>` --role `<desired role>` —token <File>
MFA のステータスが「不整合」	`{ "username": "test_user", "role": "crypto-user", "locked": "false", "mfa": [ { "strategy": "token-sign", "status": "inconsistent" } ], "cluster-coverage": "full" }`	このユーザーは、クラスター内の HSM ごとに異なる MFA フラグを持っています。これは、MFA オペレーションが HSM のサブセットでのみ完了した場合に発生する可能性があります。ユーザーのパスワードをリセットし、MFA を再度有効にできるようにする必要があります。	ユーザーが MFA を有効にしている場合は、以下の手順で行います。管理者としてログインします。次のコマンドを実行して、MFA を一時的に無効にします。 user change-mfa token-sign --username `<user's name>` --role `<desired role>` --disable また、ユーザーがすべての HSM にログインできるように、ユーザーのパスワードを変更する必要があります。 user change-password --username `<user's name>` --role `<desired role>` ユーザーの MFA を有効にする必要がある場合は、以下の手順で行います。ユーザーにログインして MFA を再度有効にしてもらいます (その場合、ユーザーはトークンに署名し、パブリックキーを PEM ファイルに提供する必要があります)。 user change-mfa token-sign --username `<user's name>` --role `<desired role>` —token <File>

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

クライアント SDK 3 のパフォーマンス検証

クライアント SDK 5 ユーザーレプリケートの失敗

Cookie の設定を選択する

Cookie の設定をカスタマイズする

Essential

Performance

Functional

Advertising

Cookie の設定を保存できません

AWS CloudHSM クライアント SDK 5 ユーザーに一貫性のない値が含まれている

注記

このページは役に立ちましたか?

次のトピック

前のトピック:

ヘルプが必要ですか?