本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS CloudHSM 用戶端 SDK 5 使用者包含不一致的值
AWS CloudHSM 用戶端 SDK 5 中的 user list命令會傳回叢集中所有使用者和使用者屬性的清單。如果任何使用者的屬性值為「不一致」,表示此使用者不會在您的叢集之間同步處理。這表示使用者在叢集中的不同 HSM 上具有不同的屬性。根據不一致屬性,可以採取不同的修復步驟。
以下資料表包含解決單一使用者不一致之處的步驟。如果單一使用者有多個不一致之處,請從上到下依照下列步驟來解決這些問題。如果有多個不一致的使用者,請為每個使用者瀏覽此清單,完全解決該使用者的不一致之處,然後再繼續下一個使用者。
要執行這些步驟,您最好以管理員身份登錄。如果您的管理員帳戶不一致,請執行以下步驟使用管理員身分登錄並重複這些步驟,直到所有屬性都一致為止。管理員帳戶一致後,您可以繼續使用該管理員同步叢集中的其他使用者。
| 屬性不一致 |
使用者清單輸出範例 |
影響 |
復原方法 |
| 使用者「角色」「不一致」 |
{
"username":
"test_user",
"role": "inconsistent",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
}
|
此使用者是某些 HSM 上的加密使用者,也是其他 HSM 的管理員。如果兩個 SDK 同時嘗試使用不同角色建立相同的使用者,就可能會發生這種情況。您必須移除此使用者,然後以所需的角色重新建立該使用者。 |
以管理員身分登錄。 -
刪除所有 HSM 上的使用者:
user delete --username <user's name> --role admin
user delete --username <user's name> --role crypto-user
-
建立具有所需角色的使用者:
user create --username <user's name> --role <desired role>
|
| 使用者「叢集覆蓋範圍」「不一致」 |
{
"username": "test_user",
"role": "crypto-user",
"locked": "false",
"mfa": [],
"cluster-coverage": "inconsistent"
}
|
此使用者存在於叢集中的 HSM 子集上。如果 user create 部分成功或 user delete 部分成功,就可能發生這種情況。
您必須完成之前的作業,無論是建立或從叢集中移除此使用者。
|
如果使用者不應該存在,請依照下列步驟執行:
以管理員身分登錄。 執行此命令:
user delete --username<user's name> --role admin
現在,執行以下命令:
user delete --username<user's name> --role crypto-user
如果使用者應該存在,請依照下列步驟執行:
以管理員身分登錄。 執行以下命令:
user create --username <user's name> --role <desired role>
|
| 使用者「鎖定」參數為「不一致」或「真」 |
{
"username":
"test_user",
"role": "crypto-user",
"locked": inconsistent,
"mfa": [],
"cluster-coverage": "full"
}
|
此使用者在 HSM 的子集上遭到鎖定。
如果使用者使用錯誤的密碼且只連線到叢集中的 HSM 子集,就會發生這種情況。
您必須變更使用者的憑證,使其在叢集中保持一致。
|
如果使用者已啟用 MFA,請依照下列步驟執行:
以管理員身分登錄。 執行下列命令,以暫時停用 MFA:
user change-mfa token-sign --username <user's name> --role <desired role> --disable
變更使用者的密碼,以便他們可以登入所有 HSM:
user change-password --username <user's name> --role <desired role>
如果應為使用者啟用 MFA,請依照下列步驟執行:
讓用戶登錄並重新啟用 MFA (這將要求他們簽署字符並在 PEM 檔案中提供其公有金鑰):
user change-mfa token-sign --username <user's name> --role <desired role> —token <File>
|
| MFA 狀態為「不一致」 |
{
"username": "test_user",
"role": "crypto-user",
"locked": "false",
"mfa": [
{
"strategy": "token-sign",
"status": "inconsistent"
}
],
"cluster-coverage": "full"
}
|
此使用者在叢集中的不同 HSM 上具有不同的 MFA 旗標。
如果 MFA 作業只在 HSM 的子集上完成,就會發生這種情況。
您必須重設使用者的密碼,並允許他們重新啟用 MFA。
|
如果使用者已啟用 MFA,請依照下列步驟執行:
以管理員身分登錄。 執行下列命令,以暫時停用 MFA:
user change-mfa token-sign --username <user's name> --role <desired role> --disable
-
然後,您還需要變更使用者的密碼,以便他們可以登入所有 HSM:
user change-password --username <user's name> --role <desired role>
如果應為使用者啟用 MFA,請依照下列步驟執行:
讓用戶登錄並重新啟用 MFA (這將要求他們簽署字符並在 PEM 檔案中提供其公有金鑰):
user change-mfa token-sign --username <user's name> --role <desired role> —token <File>
|
