用戶端 SDK 5 使用者包含不一致的值 - AWS CloudHSM

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

用戶端 SDK 5 使用者包含不一致的值

user list 命令會傳回叢集中所有使用者和使用者屬性的清單。如果任何使用者的屬性值為「不一致」,表示此使用者不會在您的叢集之間同步處理。這表示使用者在叢集中的不同 HSM 上具有不同的屬性。根據不一致屬性,可以採取不同的修復步驟。

以下資料表包含解決單一使用者不一致之處的步驟。如果單一使用者有多個不一致之處,請從上到下依照下列步驟來解決這些問題。如果有多個不一致的使用者,請為每個使用者瀏覽此清單,完全解決該使用者的不一致之處,然後再繼續下一個使用者。

注意

要執行這些步驟,您最好以管理員身份登錄。如果您的管理員帳戶不一致,請執行以下步驟使用管理員身分登錄並重複這些步驟,直到所有屬性都一致為止。管理員帳戶一致後,您可以繼續使用該管理員同步叢集中的其他使用者。

屬性不一致 使用者清單輸出範例 影響 復原方法
使用者「角色」「不一致」 
{
"username": 
"test_user",    
"role": "inconsistent",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "full"
}
 此使用者是某些 HSM CryptoUser 的使用者,而且是其他 HSM 的管理員。如果兩個 SDK 同時嘗試使用不同角色建立相同的使用者,就可能會發生這種情況。您必須移除此使用者,然後以所需的角色重新建立該使用者。

  1. 以管理員身分登錄。

  2. 刪除所有 HSM 上的使用者:

    user delete --username <user's name> --role admin

    user delete --username <user's name> --role crypto-user

  3. 建立具有所需角色的使用者:

    user create --username <user's name> --role <desired role>
使用者「叢集覆蓋範圍」「不一致」 
{
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "inconsistent"
}

此使用者存在於叢集中的 HSM 子集上。如果 user create 部分成功或 user delete 部分成功,就可能發生這種情況。

您必須完成之前的作業,無論是建立或從叢集中移除此使用者。

如果使用者不應該存在,請依照下列步驟執行:

  1. 以管理員身分登錄。

  2. 執行此命令:

    user delete --username<user's name> --role admin

  3. 現在,執行以下命令:

    user delete --username<user's name> --role crypto-user

如果使用者應該存在,請依照下列步驟執行:

  1. 以管理員身分登錄。

  2. 執行以下命令:

    user create --username <user's name> --role <desired role>

使用者「鎖定」參數為「不一致」或「真」 
{
"username": 
"test_user",    
"role": "crypto-user",    
"locked": inconsistent,    
"mfa": [],     
"cluster-coverage": "full"
}

此使用者在 HSM 的子集上遭到鎖定。

如果使用者使用錯誤的密碼且只連線到叢集中的 HSM 子集,就會發生這種情況。

您必須變更使用者的憑證,使其在叢集中保持一致。

如果使用者已啟用 MFA,請依照下列步驟執行:

  1. 以管理員身分登錄。

  2. 執行下列命令,以暫時停用 MFA:

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. 變更使用者的密碼,以便他們可以登入所有 HSM:

    user change-password --username <user's name> --role <desired role>

如果應為使用者啟用 MFA,請依照下列步驟執行:

  1. 讓用戶登錄並重新啟用 MFA (這將要求他們簽署字符並在 PEM 檔案中提供其公有金鑰):

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>

MFA 狀態為「不一致」 
{    
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [
  {            
   "strategy": "token-sign",
   "status": "inconsistent"
   }    
],     
"cluster-coverage": "full"
}

此使用者在叢集中的不同 HSM 上具有不同的 MFA 旗標。

如果 MFA 作業只在 HSM 的子集上完成,就會發生這種情況。

您必須重設使用者的密碼,並允許他們重新啟用 MFA。

如果使用者已啟用 MFA,請依照下列步驟執行:

  1. 以管理員身分登錄。

  2. 執行下列命令,以暫時停用 MFA:

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. 然後,您還需要變更使用者的密碼,以便他們可以登入所有 HSM:

    user change-password --username <user's name> --role <desired role>

如果應為使用者啟用 MFA,請依照下列步驟執行:

  1. 讓用戶登錄並重新啟用 MFA (這將要求他們簽署字符並在 PEM 檔案中提供其公有金鑰):

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>