Resolvendo falhas na criação de AWS CloudHSM clusters - AWS CloudHSM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Resolvendo falhas na criação de AWS CloudHSM clusters

Quando você cria um cluster, AWS CloudHSM cria a função AWSServiceRoleForCloudHSM vinculada ao serviço, se a função ainda não existir. Se você AWS CloudHSM não conseguir criar a função vinculada ao serviço, sua tentativa de criar um cluster poderá falhar.

Este tópico explica como resolver os problemas mais comuns para que você possa criar um cluster com sucesso. Você precisa criar essa função apenas uma vez. Uma vez que a função vinculada a serviço for criada na sua conta, você poderá usar qualquer um dos métodos com suporte para criar clusters adicionais e gerenciá-los.

As seções a seguir oferecem sugestões para solucionar falhas de criação de cluster relacionadas à função vinculada a serviço. Se você tentou, mas ainda não conseguiu criar um cluster, entre em contato com a AWS Support. Para obter mais informações sobre a função AWSServiceRoleForCloudHSM vinculada ao serviço, consulte. Funções vinculadas a serviços para AWS CloudHSM

Adicionar a permissão ausente

Para criar uma função vinculada a serviço, o usuário deve ter a permissão iam:CreateServiceLinkedRole. Se o IAM usuário que está criando o cluster não tiver essa permissão, o processo de criação do cluster falhará ao tentar criar a função vinculada ao serviço em sua AWS conta.

Quando uma permissão ausente causa a falha, a mensagem de erro inclui o seguinte texto.

This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.

Para resolver esse erro, dê AdministratorAccess permissão ao IAM usuário que está criando o cluster ou adicione-a iam:CreateServiceLinkedRole à IAM política do usuário. Para obter instruções, consulte Adicionar permissões a um usuário novo ou existente.

Em seguida, tente criar o cluster novamente.

Criar a função vinculada ao serviço manualmente

Você pode usar o IAM console ou criar API a função AWSServiceRoleForCloudHSM vinculada ao serviço. CLI Para obter mais informações, consulte Criação de uma função vinculada ao serviço no Guia do IAMusuário.

Usar um usuário não federado

Usuários federados, cujas credenciais são originárias de fora do AWS, podem realizar muitas das tarefas de um usuário não federado. No entanto, AWS não permite que os usuários façam API chamadas para criar uma função vinculada ao serviço a partir de um endpoint federado.

Para resolver esse problema, crie um usuário não federado com a permissão iam:CreateServiceLinkedRole ou dê a permissão iam:CreateServiceLinkedRole a um usuário não federado existente. Em seguida, peça a esse usuário que crie um cluster na AWS CLI. Isso cria a função vinculada a serviço na sua conta.

Depois de criada a função vinculada a serviço, se você preferir, poderá excluir o cluster que o usuário não federado criou. A exclusão do cluster não afeta a função. Depois disso, qualquer usuário com as permissões necessárias, incluindo usuários federados, pode criar AWS CloudHSM clusters em sua conta.

Para verificar se a função foi criada, abra o IAM console em https://console.aws.amazon.com/iam/e escolha Funções. Ou use o comando IAM get-role no. AWS CLI

$ aws iam get-role --role-name AWSServiceRoleForCloudHSM { "Role": { "Description": "Role for CloudHSM service operations", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "cloudhsm.amazonaws.com" } } ] }, "RoleId": "AROAJ4I6WN5QVGG5G7CBY", "CreateDate": "2017-12-19T20:53:12Z", "RoleName": "AWSServiceRoleForCloudHSM", "Path": "/aws-service-role/cloudhsm.amazonaws.com/", "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM" } }