O usuário do Client SDK 5 do AWS CloudHSM contém valores inconsistentes - AWS CloudHSM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O usuário do Client SDK 5 do AWS CloudHSM contém valores inconsistentes

O comando user list no Client SDK 5 do AWS CloudHSM retorna uma lista de todos os usuários e propriedades do usuário em seu cluster. Se alguma das propriedades de um usuário tiver o valor “inconsistente”, esse usuário não será sincronizado em seu cluster. Isso significa que o usuário existe com propriedades diferentes em HSMs diferentes no cluster. Com base em qual propriedade é inconsistente, diferentes etapas de reparo podem ser feitas.

A tabela a seguir inclui etapas para resolver inconsistências para um único usuário. Se um único usuário tiver várias inconsistências, resolva-as seguindo estas etapas de cima para baixo. Se houver vários usuários com inconsistências, analise essa lista para cada usuário, resolvendo totalmente as inconsistências desse usuário antes de passar para a próxima.

nota

Para executar essas etapas, o ideal é estar logado como administrador. Se sua conta de administrador não for consistente, siga estas etapas fazendo login como administrador e repetindo as etapas até que todas as propriedades estejam consistentes. Depois que sua conta de administrador estiver consistente, você poderá continuar usando esse administrador para sincronizar outros usuários no cluster.

Propriedade inconsistente Exemplo de saída da lista de usuários Implicação Método de recuperação
A “função” do usuário é “inconsistente” 
{
"username": 
"test_user",    
"role": "inconsistent",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "full"
}
 Esse usuário é usuário de criptografia em alguns HSMs e administrador em outros HSMs. Isso pode acontecer se dois SDKs tentarem criar o mesmo usuário, ao mesmo tempo, com funções diferentes. Você deve remover esse usuário e recriá-lo com a função desejada.

  1. Faça login como administrador.

  2. Exclua o usuário em todos os HSMs:

    user delete --username <user's name> --role admin

    user delete --username <user's name> --role crypto-user

  3. Crie o usuário com a função desejada:

    user create --username <user's name> --role <desired role>
A “cobertura do cluster” do usuário é “inconsistente” 
{
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "inconsistent"
}

Esse usuário existe em um subconjunto de HSMs no cluster. Isso pode acontecer se um user create for parcialmente bem-sucedido ou user delete parcialmente bem-sucedido.

Você deve concluir sua operação anterior, criando ou removendo esse usuário do seu cluster.

Se o usuário não deve existir, siga estas etapas:

  1. Faça login como administrador.

  2. Execute este comando:

    user delete --username<user's name> --role admin

  3. Execute o seguinte comando:

    user delete --username<user's name> --role crypto-user

Se o usuário deve existir, siga estas etapas:

  1. Faça login como administrador.

  2. Execute o seguinte comando:

    user create --username <user's name> --role <desired role>

O parâmetro “bloqueado” do usuário é “inconsistente” ou “verdadeiro” 
{
"username": 
"test_user",    
"role": "crypto-user",    
"locked": inconsistent,    
"mfa": [],     
"cluster-coverage": "full"
}

Esse usuário está bloqueado em um subconjunto de HSMs.

Isso pode acontecer se um usuário usar a senha errada e se conectar somente a um subconjunto de HSMs no cluster.

Você deve alterar as credenciais do usuário para que sejam consistentes em todo o cluster.

Se o usuário tiver o MFA ativado, siga estas etapas:

  1. Faça login como administrador.

  2. Execute o comando a seguir para desativar temporariamente o MFA:

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. Altere a senha do usuário para que ele possa fazer login em todos os HSMs:

    user change-password --username <user's name> --role <desired role>

Se o MFA estiver ativado para o usuário, siga estas etapas:

  1. Faça com que o usuário faça login e reative o MFA (isso exigirá que ele assine tokens e forneça sua chave pública em um arquivo PEM):

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>

O status do MFA é “inconsistente” 
{    
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [
  {            
   "strategy": "token-sign",
   "status": "inconsistent"
   }    
],     
"cluster-coverage": "full"
}

Esse usuário tem diferentes sinalizadores de MFA em diferentes HSMs no cluster.

Isso pode acontecer se uma operação de MFA for concluída somente em um subconjunto de HSMs.

Você deve redefinir a senha do usuário e permitir que ele reative o MFA.

Se o usuário tiver o MFA ativado, siga estas etapas:

  1. Faça login como administrador.

  2. Execute o comando a seguir para desativar temporariamente o MFA:

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. Também será necessário alterar a senha do usuário para que ele possa fazer login em todos os HSMs:

    user change-password --username <user's name> --role <desired role>

Se o MFA estiver ativado para o usuário, siga estas etapas:

  1. Faça com que o usuário faça login e reative o MFA (isso exigirá que ele assine tokens e forneça sua chave pública em um arquivo PEM):

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>