AWS CloudHSM Client SDK 5 使用者包含不一致的值 - AWS CloudHSM

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS CloudHSM Client SDK 5 使用者包含不一致的值

AWS CloudHSM 用戶端 5 SDK 中的user list命令會傳回叢集中所有使用者和使用者屬性的清單。如果任何使用者的屬性值為「不一致」,表示此使用者不會在您的叢集之間同步處理。這表示使用者在叢集HSMs中的不同屬性上存在不同屬性。根據不一致屬性,可以採取不同的修復步驟。

以下資料表包含解決單一使用者不一致之處的步驟。如果單一使用者有多個不一致之處,請從上到下依照下列步驟來解決這些問題。如果有多個不一致的使用者,請為每個使用者瀏覽此清單,完全解決該使用者的不一致之處,然後再繼續下一個使用者。

注意

要執行這些步驟,您最好以管理員身份登錄。如果您的管理員帳戶不一致,請執行以下步驟使用管理員身分登錄並重複這些步驟,直到所有屬性都一致為止。管理員帳戶一致後,您可以繼續使用該管理員同步叢集中的其他使用者。

屬性不一致 使用者清單輸出範例 影響 復原方法
使用者「角色」「不一致」 
{
"username": 
"test_user",    
"role": "inconsistent",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "full"
}
 此使用者在某些 CryptoUser 上是 HSMs,在其他 上是 管理員HSMs。如果兩次SDKs嘗試同時建立具有不同角色的相同使用者,則可能會發生這種情況。您必須移除此使用者,然後使用所需的角色重新建立它。

  1. 以管理員身分登錄。

  2. 在所有 上刪除使用者HSMs:

    user delete --username <user's name> --role admin

    user delete --username <user's name> --role crypto-user

  3. 建立具有所需角色的使用者:

    user create --username <user's name> --role <desired role>
使用者「叢集覆蓋範圍」「不一致」 
{
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "inconsistent"
}

此使用者存在於叢集HSMs中的 子集。如果 user create部分成功,或如果 user delete部分成功,則可能會發生這種情況。

您必須完成之前的作業,無論是建立或從叢集中移除此使用者。

如果使用者不應該存在,請依照下列步驟執行:

  1. 以管理員身分登錄。

  2. 執行此命令:

    user delete --username<user's name> --role admin

  3. 現在,執行以下命令:

    user delete --username<user's name> --role crypto-user

如果使用者應該存在,請依照下列步驟執行:

  1. 以管理員身分登錄。

  2. 執行以下命令:

    user create --username <user's name> --role <desired role>

使用者「鎖定」參數為「不一致」或「真」 
{
"username": 
"test_user",    
"role": "crypto-user",    
"locked": inconsistent,    
"mfa": [],     
"cluster-coverage": "full"
}

此使用者在 的子集上被鎖定HSMs。

如果使用者使用錯誤的密碼,而且只連線到叢集HSMs中的 子集,就可能會發生這種情況。

您必須變更使用者的憑證,使其在叢集中保持一致。

如果使用者MFA已啟用,請遵循下列步驟:

  1. 以管理員身分登錄。

  2. 執行下列命令以暫時停用 MFA:

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. 變更使用者的密碼,以便他們可以登入所有 HSMs:

    user change-password --username <user's name> --role <desired role>

如果 MFA應為使用者作用中,請遵循下列步驟:

  1. 讓使用者登入並重新啟用 MFA(這需要他們在PEM檔案中簽署權杖並提供其公有金鑰):

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>

MFA 狀態為「不一致」 
{    
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [
  {            
   "strategy": "token-sign",
   "status": "inconsistent"
   }    
],     
"cluster-coverage": "full"
}

此使用者在叢集HSMs中的不同 上有不同的MFA旗標。

如果MFA操作僅在 的子集上完成,則可能會發生這種情況HSMs。

您必須重設使用者的密碼,並允許其重新啟用 MFA。

如果使用者MFA已啟用,請遵循下列步驟:

  1. 以管理員身分登錄。

  2. 執行下列命令以暫時停用 MFA:

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. 然後,您還需要變更使用者的密碼,以便他們可以登入所有 HSMs:

    user change-password --username <user's name> --role <desired role>

如果 MFA應為使用者作用中,請遵循下列步驟:

  1. 讓使用者登入並重新啟用 MFA(這需要他們在PEM檔案中簽署權杖並提供其公有金鑰):

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>