Resolver falhas na criação do cluster do AWS CloudHSM
Quando você cria um cluster, o AWS CloudHSM cria a função vinculada a serviço AWSServiceRoleForCloudHSM, caso ela ainda não exista. Se o AWS CloudHSM não puder criar a função vinculada a serviço, sua tentativa de criar um cluster poderá falhar.
Este tópico explica como resolver os problemas mais comuns para que você possa criar um cluster com sucesso. Você precisa criar essa função apenas uma vez. Uma vez que a função vinculada a serviço for criada na sua conta, você poderá usar qualquer um dos métodos com suporte para criar clusters adicionais e gerenciá-los.
As seções a seguir oferecem sugestões para solucionar falhas de criação de cluster relacionadas à função vinculada a serviço. Se você tentou, mas ainda não conseguiu criar um cluster, entre em contato com a AWS Support
Tópicos
Adicionar a permissão ausente
Para criar uma função vinculada a serviço, o usuário deve ter a permissão iam:CreateServiceLinkedRole. Se o usuário do IAM que está criando o cluster não tiver essa permissão, o processo de criação do cluster falhará quando tentar criar a função vinculada a serviço na sua conta da AWS.
Quando uma permissão ausente causa a falha, a mensagem de erro inclui o seguinte texto.
This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.
Para resolver esse erro, forneça ao usuário do IAM que está criando o cluster a permissão AdministratorAccess ou adicione a permissão iam:CreateServiceLinkedRole à política do IAM desse usuário. Para obter instruções, consulte Adicionar permissões a um usuário novo ou existente.
Em seguida, tente criar o cluster novamente.
Criar a função vinculada ao serviço manualmente
Você pode usar o console da &IAM, a CLI ou a API para criar a função vinculada a serviço AWSServiceRoleForCloudHSM. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM.
Usar um usuário não federado
Usuários federados, cujas credenciais se originam fora da AWS, podem executar muitas das tarefas de um usuário não federado. No entanto, a AWS não permite que os usuários façam chamadas de API para criar uma função vinculada a serviço a partir de um endpoint federado.
Para resolver esse problema, crie um usuário não federado com a permissão iam:CreateServiceLinkedRole ou dê a permissão iam:CreateServiceLinkedRole a um usuário não federado existente. Em seguida, peça a esse usuário que crie um cluster na AWS CLI. Isso cria a função vinculada a serviço na sua conta.
Depois de criada a função vinculada a serviço, se você preferir, poderá excluir o cluster que o usuário não federado criou. A exclusão do cluster não afeta a função. Posteriormente, qualquer usuário com as permissões necessárias, incluindo usuários federados, poderá criar clusters do AWS CloudHSM na sua conta.
Para verificar se a função foi criada, abra o console do IAM em https://console.aws.amazon.com/iam/
$aws iam get-role --role-name AWSServiceRoleForCloudHSM{ "Role": { "Description": "Role for CloudHSM service operations", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "cloudhsm.amazonaws.com" } } ] }, "RoleId": "AROAJ4I6WN5QVGG5G7CBY", "CreateDate": "2017-12-19T20:53:12Z", "RoleName": "AWSServiceRoleForCloudHSM", "Path": "/aws-service-role/cloudhsm.amazonaws.com/", "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM" } }
