Fügen Sie die fehlende Berechtigung hinzu Manuelles Erstellen der serviceverknüpften Rolle Verwenden Sie einen nicht verbundenen Benutzer

Beheben von Cluster-Erstellungsfehlern

Wenn Sie einen Cluster erstellen, AWS CloudHSM wird die AWSServiceRoleForCloudHSM serviceverknüpfte Rolle erstellt, sofern die Rolle noch nicht vorhanden ist. Wenn die dienstverknüpfte Rolle AWS CloudHSM nicht erstellt werden kann, schlägt Ihr Versuch, einen Cluster zu erstellen, möglicherweise fehl.

In diesem Thema wird erklärt, wie Sie die am häufigsten auftretenden Probleme lösen und so erfolgreich einen Cluster erstellen. Sie müssen diese Rolle nur einmal erstellen. Sobald die servicegebundene Rolle in Ihrem Konto erstellt wurde, können Sie mit jeder der unterstützten Methoden weitere Cluster erstellen und verwalten.

Die folgenden Abschnitte halten Ratschläge bereit, mit der Fehler bei der Cluster-Erstellung behoben werden können, falls diese im Zusammenhang mit der servicegebundenen Rolle stehen. Wenn Sie nach Ausführung dieser Ratschläge immer noch nicht in der Lage sind, Cluster zu erstellen, wenden Sie sich an den AWS Support. Weitere Informationen zur AWSServiceRoleForCloudHSM dienstbezogenen Rolle finden Sie unter. Mit Diensten verknüpfte Rollen für AWS CloudHSM

Themen

Fügen Sie die fehlende Berechtigung hinzu
Manuelles Erstellen der serviceverknüpften Rolle
Verwenden Sie einen nicht verbundenen Benutzer

Fügen Sie die fehlende Berechtigung hinzu

Um eine servicegebundene Rolle erstellen zu können, muss der Benutzer über die iam:CreateServiceLinkedRole-Berechtigung verfügen. Wenn der IAM-Benutzer, der den Cluster erstellt, nicht über diese Berechtigung verfügt, schlägt der Clustererstellungsprozess fehl, wenn versucht wird, die dienstverknüpfte Rolle in Ihrem Konto zu erstellen. AWS

Wenn eine fehlende Berechtigung den Fehler verursacht, enthält die Fehlermeldung den folgenden Text.


This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.

Um diesen Fehler zu beheben, geben Sie dem IAM-Benutzer, der den Cluster erstellt, die AdministratorAccess-Berechtigung oder fügen Sie der IAM-Richtlinie des Benutzers die iam:CreateServiceLinkedRole-Berechtigung hinzu. Weitere Anleitungen finden Sie unter Hinzufügen von Berechtigungen zu einem neuen oder vorhandenen Benutzer (Konsole).

Versuchen Sie anschließend erneut, den Cluster zu erstellen.

Manuelles Erstellen der serviceverknüpften Rolle

Sie können die IAM-Konsole, CLI oder API verwenden, um die AWSServiceRoleForCloudHSM serviceverknüpfte Rolle zu erstellen. Weitere Informationen finden Sie unter Erstellen einer serviceverknüpfte Rolle im IAM-Leitfaden.

Verwenden Sie einen nicht verbundenen Benutzer

Verbundbenutzer, deren Anmeldeinformationen außerhalb von stammen AWS, können viele der Aufgaben eines nicht verbundenen Benutzers ausführen. Mit AWS können Benutzer jedoch keine API-Aufrufe zum Erstellen einer servicegebundenen Rolle von einem verbundenen Endpunkt aus ausführen.

Um dieses Problem zu lösen, erstellen Sie einen nicht verbundenen Benutzer mit der iam:CreateServiceLinkedRole-Berechtigung oder erteilen Sie einem vorhandenen nicht verbundenen Benutzer die iam:CreateServiceLinkedRole-Berechtigung. Lassen Sie den Benutzer anschließend in der AWS CLIeinen Cluster erstellen. Dadurch wird die servicegebundene Rolle in Ihrem Konto erstellt.

Sobald die servicegebundene Rolle erstellt wurde, können Sie den Cluster, der den nicht verbundenen Benutzer erstellt hat, löschen. Das Löschen des Clusters hat keine Auswirkungen auf die Rolle. Danach kann jeder Benutzer mit den erforderlichen Berechtigungen, einschließlich Verbundbenutzer, AWS CloudHSM Cluster in Ihrem Konto erstellen.

Um zu überprüfen, ob die Rolle erstellt wurde, öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/ und wählen Sie Rollen aus. Oder verwenden Sie den get-role-Befehl in der AWS CLI.


$  aws iam get-role --role-name AWSServiceRoleForCloudHSM
{
    "Role": {
        "Description": "Role for CloudHSM service operations",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": "sts:AssumeRole",
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "cloudhsm.amazonaws.com"
                    }
                }
            ]
        },
        "RoleId": "AROAJ4I6WN5QVGG5G7CBY",
        "CreateDate": "2017-12-19T20:53:12Z",
        "RoleName": "AWSServiceRoleForCloudHSM",
        "Path": "/aws-service-role/cloudhsm.amazonaws.com/",
        "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM"
    }
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Nicht konforme AES-Schlüsselumbrüche

Abruf von Clientkonfigurationsprotokollen