不足しているアクセス権限の追加サービスにリンクされたロールを手動で作成する非フェデレーティッドユーザーの使用

クラスター作成エラーの解決

クラスターを作成すると、ロールがまだ存在しない場合、は AWSServiceRoleForCloudHSM サービスにリンクされたロール AWS CloudHSM を作成します。がサービスにリンクされたロールを作成 AWS CloudHSM できない場合、クラスターの作成が失敗する可能性があります。

このトピックでは、クラスターを正常に作成できるように、代表的な問題の解決方法を示します。このロールは 1 回だけ作成する必要があります。サービスにリンクされたロールをアカウントに作成すると、サポートされている任意の方法を使用して、追加のクラスターを作成および管理できます。

以下のセクションでは、サービスにリンクされたロールに関連するクラスター作成エラーのトラブルシューティング対策を示します。これらの対策を試してもクラスターを作成できない場合は、AWS Support までお問い合わせください。 AWSServiceRoleForCloudHSM サービスにリンクされたロールの詳細については、「」を参照してくださいのサービスにリンクされたロール AWS CloudHSM。

不足しているアクセス権限の追加

サービスにリンクされたロールを作成するには、iam:CreateServiceLinkedRole アクセス権限が必要です。クラスターを作成している IAM ユーザーにこのアクセス許可がない場合、 AWS アカウントでサービスにリンクされたロールを作成しようとすると、クラスターの作成プロセスは失敗します。

アクセス権限が不足しているためにエラーが発生すると、以下のエラーメッセージが表示されます。


This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.

このエラーを解決するには、クラスターを作成する IAM ユーザーに AdministratorAccess アクセス権限を付与するか、ユーザーの IAM ポリシーに iam:CreateServiceLinkedRole アクセス権限を追加します。手順については、「新しいユーザーまたは既存のユーザーへのアクセス権限の追加」を参照してください。

その後で、もう一度スタックを作成してみてください。

サービスにリンクされたロールを手動で作成する

IAM コンソール、CLI、または API を使用して、サービスにリンクされたロールを作成できます AWSServiceRoleForCloudHSM。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの作成」を参照してください。

非フェデレーティッドユーザーの使用

認証情報がの外部から送信されるフェデレーティッドユーザーは AWS、フェデレーティッド以外のユーザーのタスクの多くを実行できます。ただし、AWS は、サービスにリンクされたロールをフェデレーティッドエンドポイントから作成するための API コールをユーザーに許可していません。

この問題を解決するには、非フェデレーティッドユーザーを作成して iam:CreateServiceLinkedRole アクセス権限を付与するか、既存の非フェデレーティッドユーザーに iam:CreateServiceLinkedRole アクセス権限を付与します。次に、そのユーザーにからクラスターを作成 AWS CLIしてもらいます。これにより、サービスにリンクされたロールがアカウントに作成されます。

サービスにリンクされたロールが作成されたら、必要に応じて、非フェデレーティッドユーザーが作成したクラスターを削除できます。クラスターを削除しても、ロールには影響しません。その後、フェデレーティッドユーザーを含む、必要なアクセス許可を持つすべてのユーザーが、アカウントに AWS CloudHSM クラスターを作成できます。

ロールが作成されたことを検証するには、https://console.aws.amazon.com/iam/ で IAM コンソールを開き、ロールを選択します。または、 AWS CLIの IAM get-role コマンドを使用します。


$  aws iam get-role --role-name AWSServiceRoleForCloudHSM
{
    "Role": {
        "Description": "Role for CloudHSM service operations",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": "sts:AssumeRole",
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "cloudhsm.amazonaws.com"
                    }
                }
            ]
        },
        "RoleId": "AROAJ4I6WN5QVGG5G7CBY",
        "CreateDate": "2017-12-19T20:53:12Z",
        "RoleName": "AWSServiceRoleForCloudHSM",
        "Path": "/aws-service-role/cloudhsm.amazonaws.com/",
        "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM"
    }
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

非準拠 AES キーラップ

クライアント設定ログの取得