AWS CloudHSM 클러스터 생성 실패 해결 - AWS CloudHSM
누락된 권한 추가수동으로 서비스 연결 역할 생성연동되지 않은 사용자 사용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudHSM 클러스터 생성 실패 해결

클러스터를 생성할 때 역할이 아직 없는 경우는 AWSServiceRoleForCloudHSM 서비스 연결 역할을 AWS CloudHSM 생성합니다. 가 서비스 연결 역할을 생성할 AWS CloudHSM 수 없는 경우 클러스터 생성 시도가 실패할 수 있습니다.

이 주제에서는 클러스터를 성공적으로 생성할 수 있도록 가장 일반적인 문제를 해결하는 방법을 설명합니다. 이 역할은 한 번만 생성하면 됩니다. 계정에서 서비스 연결 역할이 생성되면 지원되는 모든 방법을 사용하여 추가 클러스터를 생성하고 관리할 수 있습니다.

다음 단원에서는 서비스 연결 역할과 관련된 클러스터 생성 실패 문제를 해결하기 위한 제안을 제공합니다. 이 제안대로 시도해도 클러스터를 생성할 수 없으면 지원에 문의하십시오. AWSServiceRoleForCloudHSM 서비스 연결 역할에 대한 자세한 내용은 에 대한 서비스 연결 역할 AWS CloudHSM 단원을 참조하십시오.

누락된 권한 추가

서비스 연결 역할을 생성하려면 사용자에게 iam:CreateServiceLinkedRole 권한이 있어야 합니다. 클러스터를 생성하는 IAM 사용자에게이 권한이 없는 경우 AWS 계정에서 서비스 연결 역할을 생성하려고 하면 클러스터 생성 프로세스가 실패합니다.

누락된 권한 때문에 실패가 발생할 경우 오류 메시지에 다음 텍스트가 포함됩니다.

This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.

이 오류를 해결하려면 클러스터를 생성하는 IAM 사용자에게 AdministratorAccess 권한을 부여하거나 사용자의 IAM 정책에 iam:CreateServiceLinkedRole 권한을 추가합니다. 지침은 신규 또는 기존 사용자에게 권한 추가를 참조하십시오.

그런 다음 다시 클러스터를 생성해 봅니다.

수동으로 서비스 연결 역할 생성

IAM 콘솔, CLI 또는 API를 사용하여 AWSServiceRoleForCloudHSM 서비스 연결 역할을 생성할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 생성 섹션을 참조하세요.

연동되지 않은 사용자 사용

자격 증명이 외부에서 시작되는 페더레이션 사용자는 비페더레이션 사용자의 많은 작업을 수행할 AWS수 있습니다. 하지만 AWS는 사용자가 연합된 엔드포인트에서 API 호출을 사용하여 서비스 연결 역할을 생성하도록 허용하지 않습니다.

이 문제를 해결하려면 권한을 가진 비연동 사용자를 만들거나 기존 비연동 사용자에게 iam:CreateServiceLinkedRole 권한을 부여하십시오. iam:CreateServiceLinkedRole 그런 다음 해당 사용자에게 에서 클러스터를 생성하도록 하십시오. AWS CLI그러면 계정에서 서비스 연결 역할이 생성됩니다.

서비스 연결 역할이 생성되면 원하는 경우 비연합 사용자가 생성한 클러스터를 삭제할 수 있습니다. 클러스터를 삭제해도 역할에는 영향을 미치지 않습니다. 그런 다음 페더레이션 사용자를 포함하여 필요한 권한이 있는 모든 사용자는 계정에 AWS CloudHSM 클러스터를 생성할 수 있습니다.

역할이 생성되었는지 확인하려면 https://console.aws.amazon.com/iam/ 에서 IAM 콘솔을 열고 역할을 선택합니다. 또는 에서 IAM get-role 명령을 사용할 수도 있습니다. AWS CLI

$  aws iam get-role --role-name AWSServiceRoleForCloudHSM
{
    "Role": {
        "Description": "Role for CloudHSM service operations",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": "sts:AssumeRole",
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "cloudhsm.amazonaws.com"
                    }
                }
            ]
        },
        "RoleId": "AROAJ4I6WN5QVGG5G7CBY",
        "CreateDate": "2017-12-19T20:53:12Z",
        "RoleName": "AWSServiceRoleForCloudHSM",
        "Path": "/aws-service-role/cloudhsm.amazonaws.com/",
        "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM"
    }
}