Menyelesaikan kegagalan pembuatan cluster - AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyelesaikan kegagalan pembuatan cluster

Saat Anda membuat klaster, AWS CloudHSM buat peran AWSServiceRoleForCloudHSM terkait layanan, jika peran tersebut belum ada. Jika AWS CloudHSM tidak dapat membuat peran terkait layanan, upaya Anda untuk membuat klaster mungkin gagal.

Topik ini menjelaskan cara menyelesaikan masalah yang paling umum, sehingga Anda dapat berhasil membuat klaster. Anda perlu membuat peran ini hanya satu kali. Setelah peran tertaut layanan dibuat di akun Anda, Anda dapat menggunakan salah satu metode yang didukung untuk membuat klaster tambahan dan mengelolanya.

Bagian berikut menawarkan saran untuk memecahkan masalah kegagalan pembuatan klaster yang berkaitan dengan peran terkait layanan. Jika Anda mencobanya tetapi masih tidak dapat membuat sebuah klaster, hubungi AWS Support. Untuk informasi selengkapnya tentang peran AWSServiceRoleForCloudHSM terkait layanan, lihat. Peran terkait layanan untuk AWS CloudHSM

Tambahkan izin yang hilang

Untuk membuat peran terkait layanan, pengguna harus memiliki izin iam:CreateServiceLinkedRole. Jika pengguna IAM yang membuat klaster tidak memiliki izin ini, proses pembuatan klaster gagal saat mencoba membuat peran terkait layanan di akun Anda. AWS

Ketika izin hilang menyebabkan kegagalan, pesan galat mencakup teks berikut.

This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.

Untuk mengatasi kesalahan ini, berikan pengguna IAM yang membuat klaster izin AdministratorAccess atau tambahkan izin iam:CreateServiceLinkedRole untuk kebijakan IAM pengguna. Untuk instruksi, lihat Menambahkan Izin untuk Pengguna Baru Atau Yang Sudah Ada.

Kemudian, cobalah untuk membuat klaster lagi.

Buat peran terkait layanan secara manual

Anda dapat menggunakan konsol IAM, CLI, atau API untuk membuat peran terkait layanan AWSServiceRoleForCloudHSM. Untuk informasi lebih lanjut, lihat Membuat Peran yang Terhubung dengan Layanan di Panduan Pengguna IAM.

Gunakan pengguna nonfederasi

Pengguna federasi, yang kredensialnya berasal dari luar AWS, dapat melakukan banyak tugas dari pengguna nonfederasi. Namun, AWS tidak mengizinkan pengguna untuk membuat panggilan API untuk membuat peran terkait layanan dari titik akhir gabungan.

Untuk mengatasi masalah ini, buat pengguna non-gabugan dengan izin iam:CreateServiceLinkedRole, atau berikan kepada pengguna non-gabungan yang ada izin iam:CreateServiceLinkedRole. Kemudian, minta pengguna itu membuat sebuah klaster dari AWS CLI. Tindakan ini membuat peran terkait layanan di akun Anda.

Setelah peran terkait layanan dibuat, jika Anda suka, Anda dapat menghapus klaster yang dibuat pengguna non-gabungan. Menghapus klaster tidak memengaruhi peran. Setelah itu, setiap pengguna dengan izin yang diperlukan, termasuk pengguna federasi, dapat membuat AWS CloudHSM cluster di akun Anda.

Untuk memverifikasi bahwa peran telah dibuat, buka konsol IAM di https://console.aws.amazon.com/iam/ dan pilih Peran. Atau, gunakan perintah IAM get-role di AWS CLI.

$ aws iam get-role --role-name AWSServiceRoleForCloudHSM { "Role": { "Description": "Role for CloudHSM service operations", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "cloudhsm.amazonaws.com" } } ] }, "RoleId": "AROAJ4I6WN5QVGG5G7CBY", "CreateDate": "2017-12-19T20:53:12Z", "RoleName": "AWSServiceRoleForCloudHSM", "Path": "/aws-service-role/cloudhsm.amazonaws.com/", "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM" } }