클러스터 생성 실패 해결 - AWS CloudHSM

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

클러스터 생성 실패 해결

클러스터를 생성할 때 AWSServiceRoleForCloudHSM 서비스 연결 역할이 아직 없으면 AWS CloudHSM에서 이 역할을 생성합니다. AWS CloudHSM이 서비스 연결 역할을 생성할 수 없을 경우 클러스터 생성 시도가 실패할 수 있습니다.

이 주제에서는 클러스터를 성공적으로 생성할 수 있도록 가장 일반적인 문제를 해결하는 방법을 설명합니다. 이 역할은 한 번만 생성하면 됩니다. 계정에서 서비스 연결 역할이 생성되면 지원되는 모든 방법을 사용하여 추가 클러스터를 생성하고 관리할 수 있습니다.

다음 단원에서는 서비스 연결 역할과 관련된 클러스터 생성 실패 문제를 해결하기 위한 제안을 제공합니다. 이 제안대로 시도해도 클러스터를 생성할 수 없으면 AWS Support에 문의하십시오. AWSServiceRoleForCloudHSM 서비스 연결 역할에 대한 자세한 내용은 AWS CloudHSM에 대한 서비스 연결 역할 단원을 참조하십시오.

누락된 권한 추가

서비스 연결 역할을 생성하려면 사용자에게 iam:CreateServiceLinkedRole 권한이 있어야 합니다. 클러스터를 생성하는 IAM 사용자에게 이 권한이 없을 경우 AWS 계정에서 서비스 연결 역할 생성을 시도할 때 클러스터 생성 절차가 실패합니다.

누락된 권한 때문에 실패가 발생할 경우 오류 메시지에 다음 텍스트가 포함됩니다.

이 작업을 수행하려면 호출자에게 iam:CreateServiceLinkedRole을 호출하여 CloudHSM 서비스 연결 역할을 생성할 수 있는 권한이 있어야 합니다.

이 오류를 해결하려면 클러스터를 생성하는 IAM 사용자에게 AdministratorAccess 권한을 부여하거나 사용자의 IAM 정책에 iam:CreateServiceLinkedRole 권한을 추가합니다. 지침은 신규 또는 기존 사용자에게 권한 추가를 참조하십시오.

그런 다음 다시 클러스터를 생성해 봅니다.

수동으로 서비스 연결 역할 생성

IAM 콘솔, CLI 또는 API를 사용하여 AWSServiceRoleForCloudHSM 서비스 연결 역할을 생성할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 생성을 참조하십시오.

비 연합 사용자 사용

자격 증명이 AWS 외부에서 온 연합된 사용자는 연합되지 않은 사용자의 작업을 상당수 수행할 수 있습니다. 하지만 AWS는 사용자가 연합된 엔드포인트에서 API 호출을 사용하여 서비스 연결 역할을 생성하도록 허용하지 않습니다.

이 문제를 해결하려면 iam:CreateServiceLinkedRole 권한으로 비 연합 사용자를 생성하거나 기존의 비 연합 사용자에게 iam:CreateServiceLinkedRole 권한을 부여합니다. 그런 다음 사용자가 AWS CLI에서 클러스터를 생성하게 합니다. 그러면 계정에서 서비스 연결 역할이 생성됩니다.

일단 서비스 연결 역할이 생성되면, 원할 경우 비 연합 사용자가 생성한 클러스터를 삭제할 수 있습니다. 클러스터를 삭제해도 역할에는 영향을 미치지 않습니다. 이후 연합된 사용자를 포함하여 필수 권한을 보유한 모든 사용자가 계정에서 AWS CloudHSM 클러스터를 생성할 수 있습니다.

역할이 생성되었는지 확인하려면 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 열고 역할을 선택합니다. 또는 AWS CLI에서 IAM get-role 명령을 사용합니다.

$ aws iam get-role --role-name AWSServiceRoleForCloudHSM { "Role": { "Description": "Role for CloudHSM service operations", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "cloudhsm.amazonaws.com" } } ] }, "RoleId": "AROAJ4I6WN5QVGG5G7CBY", "CreateDate": "2017-12-19T20:53:12Z", "RoleName": "AWSServiceRoleForCloudHSM", "Path": "/aws-service-role/cloudhsm.amazonaws.com/", "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM" } }