클라이언트 SDK 5 사용자가 일치하지 않는 값을 포함함 - AWS CloudHSM

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

클라이언트 SDK 5 사용자가 일치하지 않는 값을 포함함

user list 명령은 클러스터의 모든 사용자 및 사용자 속성 목록을 반환합니다. 사용자 속성 중 값이 “일관되지 않음”이 있는 경우 이 사용자는 클러스터 전체에서 동기화되지 않습니다. 즉, 클러스터의 HSM마다 다른 속성을 가진 사용자가 존재합니다. 어떤 속성이 일치하지 않는지에 따라 다른 복구 단계를 수행할 수 있습니다.

다음 표에는 단일 사용자의 불일치를 해결하는 단계가 포함되어 있습니다. 한 명의 사용자에게 불일치가 여러 개 있는 경우 다음 단계를 처음부터 끝까지 따라 문제를 해결하세요. 불일치를 겪는 사용자가 여러 명 있는 경우 다음 단계로 넘어가기 전에 각 사용자에 대해 이 목록을 검토하여 해당 사용자에 대한 불일치를 완전히 해결하세요.

참고

이 단계를 수행하려면 관리자로 로그인하는 것이 가장 좋습니다. 관리자 계정이 일관되지 않은 경우 다음 단계를 수행하여 관리자로 로그인하고 모든 속성이 일치할 때까지 단계를 반복하세요. 관리자 계정이 일관되면 해당 관리자를 사용하여 클러스터의 다른 사용자를 동기화할 수 있습니다.

속성이 일치하지 않습니다. 사용자 목록 출력 예시 함축 복구 방법
사용자 “역할”이 “일치하지 않음” 
{
"username": 
"test_user",    
"role": "inconsistent",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "full"
}
 이 사용자는 일부 CryptoUser HSM에서는 A이고 다른 HSM에서는 관리자입니다. 이는 두 SDK가 동시에 다른 역할을 가진 동일한 사용자를 생성하려고 시도하는 경우 발생할 수 있습니다. 이 사용자를 제거하고 원하는 역할로 다시 생성해야 합니다.

  1. 관리자로 로그인하세요.

  2. 모든 HSM에서 사용자 삭제:

    user delete --username <user's name> --role admin

    user delete --username <user's name> --role crypto-user

  3. 원하는 역할을 가진 사용자 생성:

    user create --username <user's name> --role <desired role>
사용자 “클러스터 범위”가 “일관되지 않음” 
{
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "inconsistent"
}

이 사용자는 클러스터에 있는 HSM의 하위 집합에 존재합니다. 이는 user create에서 부분적으로 성공한 경우 또는 user delete에서 부분적으로 성공한 경우에 발생할 수 있습니다.

클러스터에서 이 사용자를 생성하거나 제거하는 등 이전 작업을 완료해야 합니다.

사용자가 존재하지 않아야 하는 경우 다음 단계를 따르십시오.

  1. 관리자로 로그인하세요.

  2. 다음 명령을 실행합니다.

    user delete --username<user's name> --role admin

  3. 이제 다음 명령을 실행합니다.

    user delete --username<user's name> --role crypto-user

사용자가 존재해야 하는 경우 다음 단계를 따르세요.

  1. 관리자로 로그인하세요.

  2. 다음 명령을 실행합니다:

    user create --username <user's name> --role <desired role>

사용자 “잠금” 매개변수가 “일관성 없음” 또는 “true”입니다. 
{
"username": 
"test_user",    
"role": "crypto-user",    
"locked": inconsistent,    
"mfa": [],     
"cluster-coverage": "full"
}

이 사용자는 일부 HSM에서 차단되었습니다.

사용자가 잘못된 암호를 사용하고 클러스터에 있는 HSM의 일부에만 연결하는 경우 이 문제가 발생할 수 있습니다.

클러스터 전체에서 일관성을 유지하려면 사용자 자격 증명을 변경해야 합니다.

사용자가 MFA를 활성화한 경우 다음 단계를 따르십시오.

  1. 관리자로 로그인하세요.

  2. MFA를 일시적으로 비활성화하려면 다음 명령을 실행합니다.

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. 모든 HSM에 로그인할 수 있도록 사용자 암호를 변경하세요.

    user change-password --username <user's name> --role <desired role>

사용자에 대해 MFA를 활성화해야 하는 경우 다음 단계를 따르십시오.

  1. 사용자가 로그인하고 MFA를 다시 활성화하도록 합니다(이렇게 하려면 토큰에 서명하고 PEM 파일에 공개 키를 제공해야 함).

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>

MFA 상태가 “일관되지 않음” 
{    
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [
  {            
   "strategy": "token-sign",
   "status": "inconsistent"
   }    
],     
"cluster-coverage": "full"
}

이 사용자는 클러스터의 HSM마다 다른 MFA 플래그를 사용합니다.

이는 MFA 작업이 일부 HSM에서만 완료된 경우 발생할 수 있습니다.

사용자 암호를 재설정하고 사용자가 MFA를 다시 활성화하도록 허용해야 합니다.

사용자가 MFA를 활성화한 경우 다음 단계를 따르십시오.

  1. 관리자로 로그인하세요.

  2. MFA를 일시적으로 비활성화하려면 다음 명령을 실행합니다.

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. 그런 다음 모든 HSM에 로그인할 수 있도록 사용자 암호도 변경해야 합니다.

    user change-password --username <user's name> --role <desired role>

사용자에 대해 MFA를 활성화해야 하는 경우 다음 단계를 따르십시오.

  1. 사용자가 로그인하고 MFA를 다시 활성화하도록 합니다(이렇게 하려면 토큰에 서명하고 PEM 파일에 공개 키를 제공해야 함).

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>