Selesaikan nilai pengguna yang tidak konsisten Menyelesaikan nilai kebijakan mTLS yang tidak konsisten

AWS CloudHSM Pengguna atau kebijakan SDK 5 klien berisi nilai yang tidak konsisten

AWS CloudHSM tidak secara otomatis menyinkronkan pengguna atau kebijakan (seperti pengaturan mTLS) di seluruh HSM dalam klaster. CloudHSM CLI melakukan sinkronisasi upaya terbaik dari operasi ini di seluruh HSM, tetapi inkonsistensi masih dapat terjadi. Halaman ini menjelaskan cara mengidentifikasi dan mengatasi ketidakkonsistenan bagi pengguna dan kebijakan.

Selesaikan nilai pengguna yang tidak konsisten

user listPerintah di AWS CloudHSM Client SDK 5 mengembalikan daftar semua pengguna, dan properti pengguna, di cluster Anda. Jika salah satu properti pengguna memiliki nilai "tidak konsisten “, pengguna ini tidak disinkronkan di seluruh cluster Anda. Ini berarti bahwa pengguna ada dengan properti yang berbeda pada HSM yang berbeda di cluster. Berdasarkan properti mana yang tidak konsisten, langkah-langkah perbaikan yang berbeda dapat diambil.

Tabel berikut mencakup langkah-langkah untuk mengatasi ketidakkonsistenan untuk satu pengguna. Jika satu pengguna memiliki beberapa inkonsistensi, selesaikan dengan mengikuti langkah-langkah ini dari atas ke bawah. Jika ada beberapa pengguna dengan inkonsistensi, kerjakan daftar ini untuk setiap pengguna, selesaikan sepenuhnya inkonsistensi untuk pengguna tersebut sebelum melanjutkan ke yang berikutnya.

catatan

Untuk melakukan langkah-langkah ini, idealnya Anda harus masuk sebagai admin. Jika akun admin Anda tidak konsisten, lakukan langkah-langkah ini masuk dengan admin dan ulangi langkah-langkahnya hingga semua properti konsisten. Setelah akun admin Anda konsisten, Anda dapat melanjutkan untuk menggunakan admin tersebut untuk menyinkronkan pengguna lain di cluster.

Properti yang tidak konsisten	Contoh output dari daftar pengguna	Implikasi	Metode pemulihan
“Peran” pengguna “tidak konsisten”	`{ "username": "test_user", "role": "inconsistent", "locked": "false", "mfa": [], "cluster-coverage": "full" }`	Pengguna ini adalah CryptoUser pada beberapa HSM, dan Admin di HSM lainnya. Ini dapat terjadi jika dua SDK mencoba membuat pengguna yang sama, pada saat yang sama, dengan peran yang berbeda.Anda harus menghapus pengguna ini, dan membuatnya kembali dengan peran yang diinginkan.	Login sebagai admin Hapus pengguna di semua HSM: user delete --username `<user's name>` --role admin user delete --username `<user's name>` --role crypto-user Buat pengguna dengan peran yang diinginkan: user create --username `<user's name>` --role `<desired role>`
“Cakupan cluster” pengguna “tidak konsisten”	`{ "username": "test_user", "role": "crypto-user", "locked": "false", "mfa": [], "cluster-coverage": "inconsistent" }`	Pengguna ini ada pada subset HSM di cluster. Hal ini dapat terjadi jika sebagian berhasil, atau jika user create sebagian berhasil. user delete Anda harus menyelesaikan operasi sebelumnya, baik membuat atau menghapus pengguna ini dari cluster Anda.	Jika pengguna seharusnya tidak ada, ikuti langkah-langkah ini: Login sebagai admin Jalankan perintah ini: user delete --username`<user's name>` --role admin Sekarang, jalankan perintah berikut: user delete --username`<user's name>` --role crypto-user Jika pengguna harus ada, ikuti langkah-langkah ini: Login sebagai admin Jalankan perintah berikut: user create --username `<user's name>` --role `<desired role>`
Parameter “terkunci” pengguna “tidak konsisten” atau “benar”	`{ "username": "test_user", "role": "crypto-user", "locked": inconsistent, "mfa": [], "cluster-coverage": "full" }`	Pengguna ini terkunci pada subset HSM. Ini bisa terjadi jika pengguna menggunakan kata sandi yang salah dan hanya terhubung ke subset HSM di cluster. Anda harus mengubah kredensyal pengguna agar konsisten di seluruh cluster.	Jika pengguna mengaktifkan MFA, ikuti langkah-langkah ini: Login sebagai admin Jalankan perintah berikut untuk menonaktifkan MFA sementara: user change-mfa token-sign --username `<user's name>` --role `<desired role>` --disable Ubah kata sandi pengguna sehingga mereka dapat masuk ke semua HSM: user change-password --username `<user's name>` --role `<desired role>` Jika MFA harus aktif untuk pengguna, ikuti langkah-langkah ini: Minta pengguna masuk dan aktifkan kembali MFA (ini akan mengharuskan mereka untuk menandatangani token dan memberikan kunci publik mereka dalam file PEM): user change-mfa token-sign --username `<user's name>` --role `<desired role>` —token <File>
Status MFA “tidak konsisten”	`{ "username": "test_user", "role": "crypto-user", "locked": "false", "mfa": [ { "strategy": "token-sign", "status": "inconsistent" } ], "cluster-coverage": "full" }`	Pengguna ini memiliki bendera MFA yang berbeda pada HSM yang berbeda di cluster. Ini bisa terjadi jika operasi MFA hanya selesai pada subset HSM. Anda harus mengatur ulang kata sandi pengguna, dan memungkinkan mereka untuk mengaktifkan kembali MFA.	Jika pengguna mengaktifkan MFA, ikuti langkah-langkah ini: Login sebagai admin Jalankan perintah berikut untuk menonaktifkan MFA sementara: user change-mfa token-sign --username `<user's name>` --role `<desired role>` --disable Anda juga perlu mengubah kata sandi pengguna sehingga mereka dapat masuk ke semua HSM: user change-password --username `<user's name>` --role `<desired role>` Jika MFA harus aktif untuk pengguna, ikuti langkah-langkah ini: Minta pengguna masuk dan aktifkan kembali MFA (ini akan mengharuskan mereka untuk menandatangani token dan memberikan kunci publik mereka dalam file PEM): user change-mfa token-sign --username `<user's name>` --role `<desired role>` —token <File>

Menyelesaikan nilai kebijakan mTLS yang tidak konsisten

Seperti pengguna, kebijakan mTLS (jangkar kepercayaan dan tingkat penegakan) tidak disinkronkan secara otomatis di seluruh HSM. CloudHSM CLI melakukan sinkronisasi upaya terbaik saat Anda menjalankan perintah mTLS, tetapi inkonsistensi masih dapat terjadi. Anda dapat memeriksa status sinkronisasi konfigurasi mTLS Anda menggunakan perintah berikut.

Periksa sinkronisasi jangkar kepercayaan mTLS

Jalankan cluster mtls list-trust-anchors perintah untuk memeriksa status sinkronisasi jangkar kepercayaan Anda. Dalam output, setiap jangkar kepercayaan memiliki cluster-coverage bidang. Jika nilainya "penuh “, jangkar kepercayaan ada di semua HSM. Jika nilainya tidak “penuh”, jangkar kepercayaan tidak disinkronkan di semua HSM di cluster.


{
  "error_code": 0,
  "data": {
    "trust_anchors": [
      {
        "certificate-reference": "0x01",
        "certificate": "<PEM Encoded Certificate>",
        "cluster-coverage": "full"
      }
    ]
  }
}

Jika jangkar trust memiliki cakupan klaster yang tidak konsisten, jalankan kembali perintah registrasi atau deregistrasi untuk menyelesaikan operasi:

Untuk menyelesaikan pendaftaran jangkar kepercayaan yang hilang dari beberapa HSM:

cluster mtls register-trust-anchor --path <path-to-certificate>
Untuk menyelesaikan deregistering jangkar kepercayaan yang harus dihapus:

cluster mtls deregister-trust-anchor --certificate-reference <certificate-reference>

Untuk informasi selengkapnya tentang pengaturan mTL, lihat Mengatur TLS timbal balik antara klien dan. AWS CloudHSM

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Klien SDK 3 memverifikasi kinerja

Kegagalan replikasi pengguna SDK 5 klien