AWS CloudHSM クラスター作成の失敗の解決 - AWS CloudHSM

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM クラスター作成の失敗の解決

クラスターを作成すると、ロールがまだ存在しない場合、 は AWSServiceRoleForCloudHSM サービスにリンクされたロール AWS CloudHSM を作成します。 AWS CloudHSM がサービスにリンクされたロールを作成できない場合、クラスターの作成が失敗する可能性があります。

このトピックでは、クラスターを正常に作成できるように、代表的な問題の解決方法を示します。このロールは 1 回だけ作成する必要があります。サービスにリンクされたロールをアカウントに作成すると、サポートされている任意の方法を使用して、追加のクラスターを作成および管理できます。

以下のセクションでは、サービスにリンクされたロールに関連するクラスター作成エラーのトラブルシューティング対策を示します。これらの対策を試してもクラスターを作成できない場合は、AWS Support までお問い合わせください。 AWSServiceRoleForCloudHSM サービスにリンクされたロールの詳細については、「」を参照してくださいのサービスにリンクされたロール AWS CloudHSM

不足しているアクセス権限の追加

サービスにリンクされたロールを作成するには、iam:CreateServiceLinkedRole アクセス権限が必要です。クラスターを作成するIAMユーザーにこのアクセス許可がない場合、 AWS アカウントでサービスにリンクされたロールを作成しようとすると、クラスターの作成プロセスは失敗します。

アクセス権限が不足しているためにエラーが発生すると、以下のエラーメッセージが表示されます。

This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.

このエラーを解決するには、クラスターを作成するIAMユーザーに AdministratorAccess アクセス許可を付与するか、ユーザーのIAMポリシーに アクセスiam:CreateServiceLinkedRole許可を追加します。手順については、「新しいユーザーまたは既存のユーザーへのアクセス権限の追加」を参照してください。

その後で、もう一度スタックを作成してみてください。

サービスにリンクされたロールを手動で作成する

IAM コンソール、CLI、または を使用して、サービスにリンクされたロールAPIを作成できます AWSServiceRoleForCloudHSM。詳細については、IAM「 ユーザーガイド」の「サービスにリンクされたロールの作成」を参照してください。

非フェデレーティッドユーザーの使用

認証情報が の外部から送信されるフェデレーティッドユーザーは AWS、フェデレーティッド以外のユーザーのタスクの多くを実行できます。ただし、 AWS では、フェデレーティッドエンドポイントからサービスにリンクされたロールを作成するためのAPI呼び出しをユーザーに許可しません。

この問題を解決するには、非フェデレーティッドユーザーを作成して iam:CreateServiceLinkedRole アクセス権限を付与するか、既存の非フェデレーティッドユーザーに iam:CreateServiceLinkedRole アクセス権限を付与します。次に、そのユーザーに からクラスターを作成 AWS CLIしてもらいます。これにより、サービスにリンクされたロールがアカウントに作成されます。

サービスにリンクされたロールが作成されたら、必要に応じて、非フェデレーティッドユーザーが作成したクラスターを削除できます。クラスターを削除しても、ロールには影響しません。その後、フェデレーティッドユーザーを含む必要なアクセス許可を持つユーザーは、アカウントで AWS CloudHSM クラスターを作成できます。

ロールが作成されたことを確認するには、 でIAMコンソールを開きhttps://console.aws.amazon.com/iam/ロール を選択します。または、 で IAM get-role コマンドを使用します AWS CLI。

$ aws iam get-role --role-name AWSServiceRoleForCloudHSM { "Role": { "Description": "Role for CloudHSM service operations", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "cloudhsm.amazonaws.com" } } ] }, "RoleId": "AROAJ4I6WN5QVGG5G7CBY", "CreateDate": "2017-12-19T20:53:12Z", "RoleName": "AWSServiceRoleForCloudHSM", "Path": "/aws-service-role/cloudhsm.amazonaws.com/", "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM" } }