Klien SDK 5 pengguna berisi nilai-nilai yang tidak konsisten - AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Klien SDK 5 pengguna berisi nilai-nilai yang tidak konsisten

user listPerintah mengembalikan daftar semua pengguna, dan properti pengguna, di cluster Anda. Jika salah satu properti pengguna memiliki nilai "tidak konsisten “, pengguna ini tidak disinkronkan di seluruh klaster Anda. Ini berarti bahwa pengguna ada dengan properti yang berbeda pada HSM yang berbeda di cluster. Berdasarkan properti mana yang tidak konsisten, langkah-langkah perbaikan yang berbeda dapat diambil.

Tabel berikut mencakup langkah-langkah untuk menyelesaikan inkonsistensi untuk satu pengguna. Jika satu pengguna memiliki beberapa inkonsistensi, selesaikan dengan mengikuti langkah-langkah ini dari atas ke bawah. Jika ada beberapa pengguna dengan inkonsistensi, kerjakan daftar ini untuk setiap pengguna, sepenuhnya menyelesaikan inkonsistensi untuk pengguna tersebut sebelum melanjutkan yang berikutnya.

catatan

Untuk melakukan langkah-langkah ini Anda idealnya harus login sebagai admin. Jika akun admin Anda tidak konsisten, ikuti langkah-langkah ini masuk dengan admin dan ulangi langkah-langkahnya sampai semua properti konsisten. Setelah akun admin Anda konsisten, Anda dapat melanjutkan untuk menggunakan admin tersebut untuk menyinkronkan pengguna lain di klaster.

Properti yang tidak konsisten Contoh keluaran daftar pengguna Implikasi Metode Pemulihan metode
Pengguna “peran” adalah “tidak konsisten” 
{
"username": 
"test_user",    
"role": "inconsistent",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "full"
}
 Pengguna ini adalah CryptoUser pada beberapa HSM, dan Admin di HSM lainnya. Hal ini dapat terjadi jika dua SDK mencoba untuk membuat pengguna yang sama, pada saat yang sama, dengan peran yang berbeda.Anda harus menghapus pengguna ini, dan membuatnya kembali dengan peran yang diinginkan.

  1. Login sebagai admin.

  2. Hapus pengguna di semua HSM:

    user delete --username <user's name> --role admin

    user delete --username <user's name> --role crypto-user

  3. Buat pengguna dengan peran yang diinginkan:

    user create --username <user's name> --role <desired role>
Pengguna “cakupan kluster” adalah “tidak konsisten” 
{
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "inconsistent"
}

Pengguna ini ada pada subset HSM di cluster.This dapat terjadi jikauser create sebagian berhasil, atau jikauser delete sebagian berhasil.

Anda harus menyelesaikan operasi sebelumnya, baik membuat atau menghapus pengguna ini dari klaster Anda.

Jika pengguna seharusnya tidak ada, ikuti langkah-langkah ini:

  1. Login sebagai admin.

  2. Jalankan perintah ini:

    user delete --username<user's name> --role admin

  3. Sekarang, jalankan perintah berikut:

    user delete --username<user's name> --role crypto-user

Jika pengguna harus ada, ikuti langkah-langkah ini:

  1. Login sebagai admin.

  2. Jalankan perintah berikut:

    user create --username <user's name> --role <desired role>

Parameter pengguna “terkunci” adalah “tidak konsisten” atau “benar” 
{
"username": 
"test_user",    
"role": "crypto-user",    
"locked": inconsistent,    
"mfa": [],     
"cluster-coverage": "full"
}

Pengguna ini terkunci pada subset HSM.

Hal ini dapat terjadi jika pengguna menggunakan password yang salah dan hanya terhubung ke subset HSM di cluster.

Anda harus mengubah kredensi pengguna agar konsisten di seluruh klaster.

Jika pengguna mengaktifkan MFA, ikuti langkah-langkah berikut:

  1. Login sebagai admin.

  2. Jalankan perintah berikut untuk menonaktifkan sementara MFA:

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. Ubah kata sandi pengguna sehingga mereka dapat masuk ke semua HSM:

    user change-password --username <user's name> --role <desired role>

Jika MFA harus aktif bagi pengguna, ikuti langkah-langkah berikut:

  1. Minta pengguna masuk dan mengaktifkan kembali MFA (ini akan mengharuskan mereka untuk menandatangani token dan memberikan kunci publik mereka dalam file PEM):

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>

Status MFA “tidak konsisten” 
{    
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [
  {            
   "strategy": "token-sign",
   "status": "inconsistent"
   }    
],     
"cluster-coverage": "full"
}

Pengguna ini memiliki bendera MFA yang berbeda pada HSM yang berbeda di klaster.

Hal ini dapat terjadi jika operasi MFA hanya selesai pada subset HSM.

Anda harus mengatur ulang kata sandi pengguna, dan memungkinkan mereka untuk mengaktifkan kembali MFA.

Jika pengguna mengaktifkan MFA, ikuti langkah-langkah berikut:

  1. Login sebagai admin.

  2. Jalankan perintah berikut untuk menonaktifkan sementara MFA:

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. Anda juga perlu mengubah kata sandi pengguna sehingga mereka dapat masuk ke semua HSM:

    user change-password --username <user's name> --role <desired role>

Jika MFA harus aktif bagi pengguna, ikuti langkah-langkah berikut:

  1. Minta pengguna masuk dan mengaktifkan kembali MFA (ini akan mengharuskan mereka untuk menandatangani token dan memberikan kunci publik mereka dalam file PEM):

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>