Solución de errores al crear clústeres de AWS CloudHSM
Cuando crea un clúster y la función aún no existe, AWS CloudHSM crea la función vinculada al servicio AWSServiceRoleForCloudHSM. Si AWS CloudHSM no puede crear la función vinculada al servicio, su intento de crear un clúster puede dar un error.
En este tema se explica cómo resolver los problemas más habituales para que pueda crear un clúster correctamente. Tiene que crear este rol una única vez. Una vez que el rol vinculado al servicio se cree en su cuenta, podrá utilizar cualquiera de los métodos admitidos para crear y administrar clústeres adicionales.
En las secciones siguientes se ofrecen sugerencias para solucionar errores de creación de clústeres relacionados con el rol vinculado al servicio. Si prueba estas sugerencias pero sigue sin poder crear un clúster, póngase en contacto con Soporte
Temas
Agregar el permiso que falta.
Para crear un rol vinculado a un servicio, el usuario ha de tener el permiso iam:CreateServiceLinkedRole. Si el usuario de IAM que crea el clúster no tiene este permiso, el proceso de creación del clúster generará un error cuando intente crear la función vinculada al servicio en su cuenta de AWS.
Cuando el error se produce porque falta un permiso, el mensaje de error contiene el texto siguiente.
This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.
Para solucionar este error, dé al usuario de IAM que crea el clúster el permiso AdministratorAccess o añada el permiso iam:CreateServiceLinkedRole a la política de IAM del usuario. Para leer las instrucciones, consulte Agregar permisos a un usuario nuevo o existente.
A continuación, intente volver a crear el clúster.
Crear el rol vinculado a un servicio manualmente.
Puede utilizar la consola, la CLI o la API de IAM; para crear el rol vinculado al servicio AWSServiceRoleForCloudHSM. Para obtener más información, consulte Creación de un rol vinculado a un servicio en la Guía del usuario de IAM.
Uso de usuarios no federados
Los usuarios federados, cuyas credenciales se originan fuera de AWS, pueden realizar muchas de las tareas que ejecuta un usuario no federado. No obstante, AWS no permite a los usuarios realizar llamadas a la API para crear un rol vinculado al servicio desde un punto de enlace federado.
Para solucionar este problema, cree un usuario no federado con el permiso iam:CreateServiceLinkedRole o conceda a un usuario no federado ya existente el permiso iam:CreateServiceLinkedRole. A continuación, haga que ese usuario cree un clúster desde la AWS CLI. Esto creará el rol vinculado al servicio en su cuenta.
Una vez creado el rol vinculado al servicio, si lo prefiere, puede eliminar el clúster que el usuario no federado creó. La eliminación del clúster no afecta al rol. A partir de ese momento, todo usuario que tenga los permisos necesarios, incluidos los usuarios federados, podrá crear clústeres de AWS CloudHSM en su cuenta.
Para comprobar que se creó el rol, abra la consola de IAM en https://console.aws.amazon.com/iam/
$aws iam get-role --role-name AWSServiceRoleForCloudHSM{ "Role": { "Description": "Role for CloudHSM service operations", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "cloudhsm.amazonaws.com" } } ] }, "RoleId": "AROAJ4I6WN5QVGG5G7CBY", "CreateDate": "2017-12-19T20:53:12Z", "RoleName": "AWSServiceRoleForCloudHSM", "Path": "/aws-service-role/cloudhsm.amazonaws.com/", "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM" } }
