Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Résolution des échecs de création de cluster
Lorsque vous créez un cluster, AWS CloudHSM crée le rôle AWSServiceRoleForCloudHSM lié au service, s'il n'existe pas déjà. Si vous AWS CloudHSM ne pouvez pas créer le rôle lié au service, votre tentative de création d'un cluster peut échouer.
Cette rubrique explique comment résoudre les problèmes les plus courants, afin de vous permettre de créer un cluster. Vous devez créer ce rôle une seule fois. Lorsque le rôle lié au service est créé dans votre compte, vous pouvez utiliser l'une des méthodes prises en charge pour créer et gérer des clusters supplémentaires.
Les sections suivantes présentent des suggestions pour résoudre les échecs de création de cluster relatifs au rôle lié au service. Si vous ne parvenez toujours pas à créer un cluster après avoir essayé d'appliquer ces suggestions, contactez AWS Support
Rubriques
Ajout de l'autorisation manquante
Pour créer un rôle lié au service, l'utilisateur doit disposer de l'autorisation iam:CreateServiceLinkedRole. Si l'utilisateur IAM qui crée le cluster n'a pas cette autorisation, le processus de création du cluster échoue lorsqu'il essaie de créer le rôle lié au service dans votre compte. AWS
Lorsqu'une autorisation manquante est à l'origine de l'échec, le message d'erreur inclut le texte suivant.
This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.
Pour résoudre cette erreur, donnez à l'utilisateur IAM qui crée le cluster l'autorisation AdministratorAccess, ou ajoutez l'autorisation iam:CreateServiceLinkedRole à la politique IAM de l'utilisateur. Pour obtenir des instructions, consultez Ajout d'autorisations à un utilisateur existant ou nouvellement créé.
Ensuite, réessayez de créer le cluster.
Création manuelle du rôle lié à un service
Vous pouvez utiliser la console, la CLI ou l'API IAM pour créer le rôle lié au AWSServiceRoleForCloudHSM service. Pour plus d'informations, consultez Création d'un rôle lié à un service dans le Guide de l'utilisateur IAM.
Faire appel à un utilisateur non fédéré
Les utilisateurs fédérés, dont les informations d'identification proviennent de l'extérieur AWS, peuvent effectuer de nombreuses tâches d'un utilisateur non fédéré. Toutefois, AWS n'autorise pas les utilisateurs à effectuer les appels d'API pour créer un rôle lié au service à partir d'un point de terminaison fédéré.
Pour résoudre ce problème, créez un utilisateur non fédéré avec l'autorisation iam:CreateServiceLinkedRole, ou donnez à un utilisateur non fédéré existant l'autorisation iam:CreateServiceLinkedRole. Ensuite, demandez à cet utilisateur de créer un cluster à partir de l' AWS CLI. Cela permet de créer le rôle lié au service dans votre compte.
Lorsque le rôle lié au service est créé, vous pouvez, si vous le souhaitez, supprimer le cluster créé par l'utilisateur non fédéré. La suppression du cluster n'affecte pas le rôle. Par la suite, tout utilisateur disposant des autorisations requises, y compris les utilisateurs fédérés, peut créer des AWS CloudHSM clusters dans votre compte.
Pour vérifier que le rôle a été créé, ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
$aws iam get-role --role-name AWSServiceRoleForCloudHSM{ "Role": { "Description": "Role for CloudHSM service operations", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "cloudhsm.amazonaws.com" } } ] }, "RoleId": "AROAJ4I6WN5QVGG5G7CBY", "CreateDate": "2017-12-19T20:53:12Z", "RoleName": "AWSServiceRoleForCloudHSM", "Path": "/aws-service-role/cloudhsm.amazonaws.com/", "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM" } }
