Pengguna SDK 5 klien berisi nilai yang tidak konsisten - AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pengguna SDK 5 klien berisi nilai yang tidak konsisten

user listPerintah mengembalikan daftar semua pengguna, dan properti pengguna, di cluster Anda. Jika salah satu properti pengguna memiliki nilai "tidak konsisten “, pengguna ini tidak disinkronkan di seluruh cluster Anda. Ini berarti bahwa pengguna ada dengan properti yang berbeda pada HSM yang berbeda di cluster. Berdasarkan properti mana yang tidak konsisten, langkah-langkah perbaikan yang berbeda dapat diambil.

Tabel berikut mencakup langkah-langkah untuk mengatasi ketidakkonsistenan untuk satu pengguna. Jika satu pengguna memiliki beberapa inkonsistensi, selesaikan dengan mengikuti langkah-langkah ini dari atas ke bawah. Jika ada beberapa pengguna dengan inkonsistensi, kerjakan daftar ini untuk setiap pengguna, selesaikan sepenuhnya inkonsistensi untuk pengguna tersebut sebelum melanjutkan ke yang berikutnya.

catatan

Untuk melakukan langkah-langkah ini, idealnya Anda harus masuk sebagai admin. Jika akun admin Anda tidak konsisten, lakukan langkah-langkah ini masuk dengan admin dan ulangi langkah-langkahnya hingga semua properti konsisten. Setelah akun admin Anda konsisten, Anda dapat melanjutkan untuk menggunakan admin tersebut untuk menyinkronkan pengguna lain di cluster.

Properti tidak konsisten Contoh output dari daftar pengguna Implikasi Metode pemulihan
“Peran” pengguna “tidak konsisten” 
{
"username": 
"test_user",    
"role": "inconsistent",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "full"
}
 Pengguna ini adalah CryptoUser pada beberapa HSM, dan Admin di HSM lainnya. Ini dapat terjadi jika dua SDK mencoba membuat pengguna yang sama, pada saat yang sama, dengan peran yang berbeda.Anda harus menghapus pengguna ini, dan membuatnya kembali dengan peran yang diinginkan.

  1. Login sebagai admin.

  2. Hapus pengguna di semua HSM:

    user delete --username <user's name> --role admin

    user delete --username <user's name> --role crypto-user

  3. Buat pengguna dengan peran yang diinginkan:

    user create --username <user's name> --role <desired role>
“Cakupan cluster” pengguna “tidak konsisten” 
{
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "inconsistent"
}

Pengguna ini ada pada subset HSM di cluster. Hal ini dapat terjadi jika sebagian berhasil, atau jika user create sebagian berhasil. user delete

Anda harus menyelesaikan operasi sebelumnya, baik membuat atau menghapus pengguna ini dari cluster Anda.

Jika pengguna seharusnya tidak ada, ikuti langkah-langkah ini:

  1. Login sebagai admin.

  2. Jalankan perintah ini:

    user delete --username<user's name> --role admin

  3. Sekarang, jalankan perintah berikut:

    user delete --username<user's name> --role crypto-user

Jika pengguna harus ada, ikuti langkah-langkah ini:

  1. Login sebagai admin.

  2. Jalankan perintah berikut:

    user create --username <user's name> --role <desired role>

Parameter “terkunci” pengguna “tidak konsisten” atau “benar” 
{
"username": 
"test_user",    
"role": "crypto-user",    
"locked": inconsistent,    
"mfa": [],     
"cluster-coverage": "full"
}

Pengguna ini terkunci pada subset HSM.

Ini bisa terjadi jika pengguna menggunakan kata sandi yang salah dan hanya terhubung ke subset HSM di cluster.

Anda harus mengubah kredensi pengguna agar konsisten di seluruh cluster.

Jika pengguna mengaktifkan MFA, ikuti langkah-langkah ini:

  1. Login sebagai admin.

  2. Jalankan perintah berikut untuk menonaktifkan MFA sementara:

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. Ubah kata sandi pengguna sehingga mereka dapat masuk ke semua HSM:

    user change-password --username <user's name> --role <desired role>

Jika MFA harus aktif untuk pengguna, ikuti langkah-langkah ini:

  1. Minta pengguna masuk dan aktifkan kembali MFA (ini akan mengharuskan mereka untuk menandatangani token dan memberikan kunci publik mereka dalam file PEM):

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>

Status MFA “tidak konsisten” 
{    
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [
  {            
   "strategy": "token-sign",
   "status": "inconsistent"
   }    
],     
"cluster-coverage": "full"
}

Pengguna ini memiliki bendera MFA yang berbeda pada HSM yang berbeda di cluster.

Ini bisa terjadi jika operasi MFA hanya selesai pada subset HSM.

Anda harus mengatur ulang kata sandi pengguna, dan memungkinkan mereka untuk mengaktifkan kembali MFA.

Jika pengguna mengaktifkan MFA, ikuti langkah-langkah ini:

  1. Login sebagai admin.

  2. Jalankan perintah berikut untuk menonaktifkan MFA sementara:

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. Anda juga perlu mengubah kata sandi pengguna sehingga mereka dapat masuk ke semua HSM:

    user change-password --username <user's name> --role <desired role>

Jika MFA harus aktif untuk pengguna, ikuti langkah-langkah ini:

  1. Minta pengguna masuk dan aktifkan kembali MFA (ini akan mengharuskan mereka untuk menandatangani token dan memberikan kunci publik mereka dalam file PEM):

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>