Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyelesaikan kegagalan pembuatan klaster
Saat Anda membuat klaster, AWS CloudHSM membuat peran terkait layanan AWSServiceRoleForCloudHSM, jika peran tersebut belum ada. Jika AWS CloudHSM tidak dapat membuat peran terkait layanan, upaya Anda untuk membuat klaster mungkin gagal.
Topik ini menjelaskan cara menyelesaikan masalah yang paling umum, sehingga Anda dapat berhasil membuat klaster. Anda perlu membuat peran ini hanya satu kali. Setelah peran tertaut layanan dibuat di akun Anda, Anda dapat menggunakan salah satu metode yang didukung untuk membuat klaster tambahan dan mengelolanya.
Bagian berikut menawarkan saran untuk memecahkan masalah kegagalan pembuatan klaster yang berkaitan dengan peran terkait layanan. Jika Anda mencobanya tetapi masih tidak dapat membuat sebuah klaster, hubungi AWS Support
Topik
Tambahkan izin yang hilang
Untuk membuat peran terkait layanan, pengguna harus memiliki izin iam:CreateServiceLinkedRole. Jika pengguna IAM yang membuat klaster tidak memiliki izin ini, proses pembuatan klaster gagal ketika mencoba untuk membuat peran terkait layanan di akun AWS.
Ketika izin hilang menyebabkan kegagalan, pesan galat mencakup teks berikut.
This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.
Untuk mengatasi kesalahan ini, berikan pengguna IAM yang membuat klaster izin AdministratorAccess atau tambahkan izin iam:CreateServiceLinkedRole untuk kebijakan IAM pengguna. Untuk instruksi, lihat Menambahkan Izin untuk Pengguna Baru Atau Yang Sudah Ada.
Kemudian, cobalah untuk membuat klaster lagi.
Membuat peran tertaut layanan secara manual
Anda dapat menggunakan konsol IAM, CLI, atau API untuk membuat peran terkat layanan AWSServiceRoleForCloudHSM. Untuk informasi lebih lanjut, lihat Membuat Peran yang Terhubung dengan Layanan di Panduan Pengguna IAM.
Menggunakan Pengguna Non-gabungan
Pengguna gabungan, yang kredensialnya berasal dari luar AWS, dapat melakukan banyak tugas dari pengguna non-gabungan. Namun, AWS tidak mengizinkan pengguna untuk membuat panggilan API untuk membuat peran terkait layanan dari titik akhir gabungan.
Untuk mengatasi masalah ini, buat pengguna non-gabugan dengan izin iam:CreateServiceLinkedRole, atau berikan kepada pengguna non-gabungan yang ada izin iam:CreateServiceLinkedRole. Kemudian, minta pengguna itu membuat sebuah klaster dari AWS CLI. Tindakan ini membuat peran terkait layanan di akun Anda.
Setelah peran terkait layanan dibuat, jika Anda suka, Anda dapat menghapus klaster yang dibuat pengguna non-gabungan. Menghapus klaster tidak memengaruhi peran. Setelah itu, setiap pengguna dengan izin yang diperlukan, termasuk pengguna gabungan, dapat membuat klaster AWS CloudHSM di akun Anda.
Untuk memverifikasi bahwa peran telah dibuat, buka konsol IAM di https://console.aws.amazon.com/iam/
$aws iam get-role --role-name AWSServiceRoleForCloudHSM{ "Role": { "Description": "Role for CloudHSM service operations", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "cloudhsm.amazonaws.com" } } ] }, "RoleId": "AROAJ4I6WN5QVGG5G7CBY", "CreateDate": "2017-12-19T20:53:12Z", "RoleName": "AWSServiceRoleForCloudHSM", "Path": "/aws-service-role/cloudhsm.amazonaws.com/", "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM" } }
