L'utente di Client SDK 5 contiene valori incoerenti - AWS CloudHSM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

L'utente di Client SDK 5 contiene valori incoerenti

Il comando user list restituisce un elenco di tutti gli utenti e delle relative proprietà nel cluster. Se una delle proprietà di un utente presenta il valore "incoerente", tale utente non è sincronizzato nel cluster. Ciò significa che l'utente esiste con proprietà diverse su diversi HSM del cluster. In base a quale proprietà è incoerente, è possibile effettuare diverse azioni di riparazione.

La tabella seguente descrive la procedura per risolvere le incoerenze di un singolo utente. Se un singolo utente presenta varie incoerenze, risolvile seguendo questi passaggi dall'alto verso il basso. Se vari utenti presentano incoerenze, effettua i passaggi per ciascun utente, risolvendo interamente le incoerenze per un utente prima di passare a quello successivo.

Nota

Per eseguire la procedura, l'ideale sarebbe effettuare l'accesso come amministratore. Se il tuo account amministratore è incoerente, effettua l'accesso come amministratore e segui la procedura, poi ripeti i passaggi finché tutte le proprietà non saranno coerenti. Una volta che il tuo account amministratore è coerente, puoi continuare a utilizzarlo per sincronizzare altri utenti del cluster.

Proprietà incoerente Output esemplificativo dell'elenco di utenti Implicazione Metodo di ripristino
Il "ruolo" dell'utente è "incoerente" 
{
"username": 
"test_user",    
"role": "inconsistent",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "full"
}
 Questo utente risulta essere un crypto user in alcuni HSM e un amministratore in altri. Questo può accadere se due SDK tentano di creare contemporaneamente lo stesso utente con ruoli diversi. È necessario rimuovere l'utente e ricrearlo con il ruolo desiderato.

  1. Effettua l'accesso come amministratore.

  2. Elimina l'utente su tutti gli HSM:

    user delete --username <user's name> --role admin

    user delete --username <user's name> --role crypto-user

  3. Crea l'utente con il ruolo desiderato:

    user create --username <user's name> --role <desired role>
La "cluster-coverage" dell'utente è "incoerente" 
{
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [],     
"cluster-coverage": "inconsistent"
}

Questo utente esiste in un sottoinsieme di HSM nel cluster. Questo può accadere se l'operazione user create o l'operazione user delete sono riuscite parzialmente.

È necessario completare l'operazione precedente, creando o rimuovendo l'utente dal cluster.

Se l'utente non dovrebbe esistere, segui questa procedura:

  1. Effettua l'accesso come amministratore.

  2. Eseguire il comando:

    user delete --username<user's name> --role admin

  3. Ora esegui il comando seguente:

    user delete --username<user's name> --role crypto-user

Se l'utente dovrebbe esistere, segui questa procedura:

  1. Effettua l'accesso come amministratore.

  2. Esegui il comando seguente:

    user create --username <user's name> --role <desired role>

Il parametro "bloccato" dell'utente è "incoerente" o "true" 
{
"username": 
"test_user",    
"role": "crypto-user",    
"locked": inconsistent,    
"mfa": [],     
"cluster-coverage": "full"
}

Questo utente è bloccato in un sottoinsieme di HSM.

Questo può accadere se un utente utilizza la password errata e si connette solo a un sottoinsieme di HSM nel cluster.

È necessario modificare le credenziali dell'utente per garantire la coerenza in tutto il cluster.

Se l'utente ha attivato l'autenticazione a più fattori, segui questa procedura:

  1. Effettua l'accesso come amministratore.

  2. Esegui il comando a seguire per disattivare temporaneamente l'autenticazione a più fattori:

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. Modifica la password dell'utente in modo che possa effettuare l'accesso a tutti gli HSM:

    user change-password --username <user's name> --role <desired role>

Se l'autenticazione a più fattori deve essere attiva per l'utente, segui questa procedura:

  1. Chiedi all'utente di effettuare l'accesso e riattivare l'autenticazione a più fattori (per questa operazione l'utente dovrà firmare i token e fornire la propria chiave pubblica in un file PEM):

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>

Lo stato dell'autenticazione a più fattori è "incoerente" 
{    
"username": "test_user",    
"role": "crypto-user",    
"locked": "false",    
"mfa": [
  {            
   "strategy": "token-sign",
   "status": "inconsistent"
   }    
],     
"cluster-coverage": "full"
}

Questo utente ha diversi flag relativi all'autenticazione a più fattori in diversi HSM del cluster.

Questo può accadere se un'operazione relativa all'autenticazione a più fattori viene completata solo in un sottoinsieme di HSM.

È necessario reimpostare la password dell'utente e consentirgli di riattivare l'autenticazione a più fattori.

Se l'utente ha attivato l'autenticazione a più fattori, segui questa procedura:

  1. Effettua l'accesso come amministratore.

  2. Esegui il comando a seguire per disattivare temporaneamente l'autenticazione a più fattori:

    user change-mfa token-sign --username <user's name> --role <desired role> --disable

  3. In seguito sarà necessario modificare la password dell'utente in modo che possa effettuare l'accesso a tutti gli HSM:

    user change-password --username <user's name> --role <desired role>

Se l'autenticazione a più fattori deve essere attiva per l'utente, segui questa procedura:

  1. Chiedi all'utente di effettuare l'accesso e riattivare l'autenticazione a più fattori (per questa operazione l'utente dovrà firmare i token e fornire la propria chiave pubblica in un file PEM):

    user change-mfa token-sign --username <user's name> --role <desired role> —token <File>