AWS CloudHSM クライアント SDK 5 のユーザーレプリケートの失敗
CloudHSM CLI の user replicate コマンドは、複製された AWS CloudHSM クラスター間でユーザーをレプリケートします。このガイドでは、ソースクラスター内部、またはソースクラスターと宛先クラスター間の不整合によって発生する障害への対処方法を説明します。ユーザーレプリケートは、次の属性を確認することで、ユーザーが一貫しているかどうかを検証します。
-
ユーザーロール
-
アカウントロック状態
-
クォーラム状態
-
多要素認証 (MFA) ステータス
問題: 選択したユーザーがクラスター全体で同期されない。
ユーザーレプリケーションプロセスでは、ソースクラスター全体でユーザーの同期状態を確認します。ユーザーの属性が "inconsistent" という値になっている場合、そのユーザーがクラスター内で同期されていないことを意味します。ユーザーレプリケーションは次のエラーメッセージとともに失敗します。
{
"error_code": 1,
"data": "Specified user is inconsistent across the cluster"
}ソースクラスター内のユーザーの非同期を確認するには、次の手順を実行します。
CloudHSM CLI で、
user listコマンドを実行します。
aws-cloudhsm >user list{ "error_code": 0, "data": { "users": [ { "username": "admin", "role": "admin", "locked": "false", "mfa": [], "quorum": [], "cluster-coverage": "full" }, { "username": "example-inconsistent-user", "role": "admin", "locked": "false", "mfa": [], "quorum": [], "cluster-coverage": "inconsistent" }, { "username": "app_user", "role": "internal(APPLIANCE_USER)", "locked": "false", "mfa": [], "quorum": [], "cluster-coverage": "full" } ] } }
解決策: ソースクラスター全体でユーザー属性を同期する
ソースクラスター全体でユーザー情報を同期するには、AWS CloudHSM クライアント SDK 5 ユーザーに矛盾する値が含まれている を参照してください。
問題: 宛先クラスターに、属性が異なるユーザーが存在する
宛先クラスター内の 1 つ以上の HSM に、同じ参照を持つユーザーが既に存在しており、そのユーザー属性が異なる場合、次のエラーが発生する可能性があります。
{
"error_code": 1,
"data": "User replicate failed on 1 of 3 connections"
}解決方法
どちらのユーザー情報を保持すべきか判断します。
不要なユーザーを、該当クラスターで
user deleteコマンドを実行して削除します。詳細については「CloudHSM CLI で AWS CloudHSM ユーザーを削除する」を参照してください。user replicateコマンドを実行して、ユーザーをレプリケートします。
問題: hsm2m.medium から hsm1.medium へのユーザーレプリケートが失敗する
hsm2m.medium から hsm1.medium へのユーザーレプリケートはサポートされていません。hsm2m.medium のソースクラスターから hsm1.medium の宛先クラスターへユーザーをレプリケートしようとすると、次のエラーが発生します。
{
"error_code": 1,
"data": "User replicate failed on 1 of 1 connections"
}解決方法
CloudHSM CLI のユーザー管理機能を使用して、欠落しているユーザーを手動で再作成します。
