Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Résolution des échecs de création de cluster
Lorsque vous créez un cluster, AWS CloudHSM crée le rôle lié au service AWSServiceRoleForCloudHSM, si celui-ci n'existe pas déjà. Si AWS CloudHSM ne peut pas créer le rôle lié au service, votre tentative de création de cluster peut échouer.
Cette rubrique explique comment résoudre les problèmes les plus courants, afin de vous permettre de créer un cluster. Vous devez créer ce rôle une seule fois. Lorsque le rôle lié au service est créé dans votre compte, vous pouvez utiliser l'une des méthodes prises en charge pour créer et gérer des clusters supplémentaires.
Les sections suivantes présentent des suggestions pour résoudre les échecs de création de cluster relatifs au rôle lié au service. Si vous ne parvenez toujours pas à créer un cluster après avoir essayé d'appliquer ces suggestions, contactez AWS Support
Rubriques
Ajout de l'autorisation manquante
Pour créer un rôle lié au service, l'utilisateur doit disposer de l'autorisation iam:CreateServiceLinkedRole
. Si l'utilisateur IAM qui crée le cluster ne dispose pas de cette autorisation, le processus de création du cluster échoue lorsqu'il essaie de créer le rôle lié au service dans votre compte AWS.
Lorsqu'une autorisation manquante est à l'origine de l'échec, le message d'erreur inclut le texte suivant.
This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.
Pour résoudre cette erreur, donnez à l'utilisateur IAM qui crée le cluster l'autorisation AdministratorAccess
, ou ajoutez l'autorisation iam:CreateServiceLinkedRole
à la stratégie IAM de l'utilisateur. Pour obtenir des instructions, consultez Ajout d'autorisations à un utilisateur existant ou nouvellement créé.
Ensuite, réessayez de créer le cluster.
Création manuelle du rôle lié à un service
Vous pouvez utiliser la console, l'interface de ligne de commande ou l'API IAM pour créer le rôle lié au service AWSServiceRoleForCloudHSM. Pour plus d'informations, consultez Création d'un rôle lié à un service dans le Guide de l'utilisateur IAM.
Faire appel à un utilisateur non fédéré
Les utilisateurs fédérés, dont les informations d'identification sont externes à AWS, peuvent effectuer un grand nombre des tâches d'un utilisateur non fédéré. Toutefois, AWS n'autorise pas les utilisateurs à effectuer les appels d'API pour créer un rôle lié au service à partir d'un point de terminaison fédéré.
Pour résoudre ce problème, créez un utilisateur non fédéré avec l'autorisation iam:CreateServiceLinkedRole
, ou donnez à un utilisateur non fédéré existant l'autorisation iam:CreateServiceLinkedRole
. Ensuite, demandez à cet utilisateur de créer un cluster à partir de l'AWS CLI. Cela permet de créer le rôle lié au service dans votre compte.
Lorsque le rôle lié au service est créé, vous pouvez, si vous le souhaitez, supprimer le cluster créé par l'utilisateur non fédéré. La suppression du cluster n'affecte pas le rôle. Par la suite, n'importe quel utilisateur disposant des autorisations requises, y compris un utilisateur fédéré, peut créer des clusters AWS CloudHSM dans votre compte.
Pour vérifier que le rôle a été créé, ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
$
aws iam get-role --role-name AWSServiceRoleForCloudHSM
{ "Role": { "Description": "Role for CloudHSM service operations", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "cloudhsm.amazonaws.com" } } ] }, "RoleId": "AROAJ4I6WN5QVGG5G7CBY", "CreateDate": "2017-12-19T20:53:12Z", "RoleName": "AWSServiceRoleForCloudHSM", "Path": "/aws-service-role/cloudhsm.amazonaws.com/", "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM" } }