Résolution des échecs de création de cluster - AWS CloudHSM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des échecs de création de cluster

Lorsque vous créez un cluster, AWS CloudHSM crée le rôle lié au service AWSServiceRoleForCloudHSM, si celui-ci n'existe pas déjà. Si AWS CloudHSM ne peut pas créer le rôle lié au service, votre tentative de création de cluster peut échouer.

Cette rubrique explique comment résoudre les problèmes les plus courants, afin de vous permettre de créer un cluster. Vous devez créer ce rôle une seule fois. Lorsque le rôle lié au service est créé dans votre compte, vous pouvez utiliser l'une des méthodes prises en charge pour créer et gérer des clusters supplémentaires.

Les sections suivantes présentent des suggestions pour résoudre les échecs de création de cluster relatifs au rôle lié au service. Si vous ne parvenez toujours pas à créer un cluster après avoir essayé d'appliquer ces suggestions, contactez AWS Support. Pour plus d'informations sur le rôle lié au service AWSServiceRoleForCloudHSM, consultez Rôles liés à un service pour AWS CloudHSM.

Ajout de l'autorisation manquante

Pour créer un rôle lié au service, l'utilisateur doit disposer de l'autorisation iam:CreateServiceLinkedRole. Si l'utilisateur IAM qui crée le cluster ne dispose pas de cette autorisation, le processus de création du cluster échoue lorsqu'il essaie de créer le rôle lié au service dans votre compte AWS.

Lorsqu'une autorisation manquante est à l'origine de l'échec, le message d'erreur inclut le texte suivant.

This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.

Pour résoudre cette erreur, donnez à l'utilisateur IAM qui crée le cluster l'autorisation AdministratorAccess, ou ajoutez l'autorisation iam:CreateServiceLinkedRole à la stratégie IAM de l'utilisateur. Pour obtenir des instructions, consultez Ajout d'autorisations à un utilisateur existant ou nouvellement créé.

Ensuite, réessayez de créer le cluster.

Création manuelle du rôle lié à un service

Vous pouvez utiliser la console, l'interface de ligne de commande ou l'API IAM pour créer le rôle lié au service AWSServiceRoleForCloudHSM. Pour plus d'informations, consultez Création d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Faire appel à un utilisateur non fédéré

Les utilisateurs fédérés, dont les informations d'identification sont externes à AWS, peuvent effectuer un grand nombre des tâches d'un utilisateur non fédéré. Toutefois, AWS n'autorise pas les utilisateurs à effectuer les appels d'API pour créer un rôle lié au service à partir d'un point de terminaison fédéré.

Pour résoudre ce problème, créez un utilisateur non fédéré avec l'autorisation iam:CreateServiceLinkedRole, ou donnez à un utilisateur non fédéré existant l'autorisation iam:CreateServiceLinkedRole. Ensuite, demandez à cet utilisateur de créer un cluster à partir de l'AWS CLI. Cela permet de créer le rôle lié au service dans votre compte.

Lorsque le rôle lié au service est créé, vous pouvez, si vous le souhaitez, supprimer le cluster créé par l'utilisateur non fédéré. La suppression du cluster n'affecte pas le rôle. Par la suite, n'importe quel utilisateur disposant des autorisations requises, y compris un utilisateur fédéré, peut créer des clusters AWS CloudHSM dans votre compte.

Pour vérifier que le rôle a été créé, ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/ et choisissez Rôles. Vous pouvez également utiliser la commande get-role dans le AWS CLI.

$ aws iam get-role --role-name AWSServiceRoleForCloudHSM { "Role": { "Description": "Role for CloudHSM service operations", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "cloudhsm.amazonaws.com" } } ] }, "RoleId": "AROAJ4I6WN5QVGG5G7CBY", "CreateDate": "2017-12-19T20:53:12Z", "RoleName": "AWSServiceRoleForCloudHSM", "Path": "/aws-service-role/cloudhsm.amazonaws.com/", "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM" } }