AWS CloudHSM 클러스터 생성 실패 해결 - AWS CloudHSM
누락된 권한 추가수동으로 서비스 연결 역할 생성비 페더레이션 사용자 사용

AWS CloudHSM 클러스터 생성 실패 해결

클러스터를 생성할 때 AWSServiceRoleForCloudHSM 서비스 연결 역할이 아직 없으면 AWS CloudHSM에서 이 역할을 생성합니다. AWS CloudHSM이 서비스 연결 역할을 생성할 수 없을 경우 클러스터 생성 시도가 실패할 수 있습니다.

이 주제에서는 클러스터를 성공적으로 생성할 수 있도록 가장 일반적인 문제를 해결하는 방법을 설명합니다. 이 역할은 한 번만 생성하면 됩니다. 계정에서 서비스 연결 역할이 생성되면 지원되는 모든 방법을 사용하여 추가 클러스터를 생성하고 관리할 수 있습니다.

다음 단원에서는 서비스 연결 역할과 관련된 클러스터 생성 실패 문제를 해결하기 위한 제안을 제공합니다. 이 제안대로 시도해도 클러스터를 생성할 수 없으면 지원에 문의하십시오. AWSServiceRoleForCloudHSM 서비스 연결 역할에 대한 자세한 내용은 AWS CloudHSM에 대한 서비스 연결 역할 단원을 참조하십시오.

누락된 권한 추가

서비스 연결 역할을 생성하려면 사용자에게 iam:CreateServiceLinkedRole 권한이 있어야 합니다. 클러스터를 생성하는 IAM 사용자에게 이 권한이 없을 경우 AWS 계정에서 서비스 연결 역할 생성을 시도할 때 클러스터 생성 절차가 실패합니다.

누락된 권한 때문에 실패가 발생할 경우 오류 메시지에 다음 텍스트가 포함됩니다.

This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.

이 오류를 해결하려면 클러스터를 생성하는 IAM 사용자에게 AdministratorAccess 권한을 부여하거나 사용자의 IAM 정책에 iam:CreateServiceLinkedRole 권한을 추가합니다. 지침은 신규 또는 기존 사용자에게 권한 추가를 참조하십시오.

그런 다음 다시 클러스터를 생성해 봅니다.

수동으로 서비스 연결 역할 생성

IAM 콘솔, CLI 또는 API를 사용하여 AWSServiceRoleForCloudHSM 서비스 연결 역할을 생성할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 생성 섹션을 참조하세요.

비 페더레이션 사용자 사용

자격 증명이 AWS 외부에서 온 페더레이션 사용자는 비 페더레이션 사용자의 작업을 상당수 수행할 수 있습니다. 하지만 AWS는 사용자가 연합된 엔드포인트에서 API 호출을 사용하여 서비스 연결 역할을 생성하도록 허용하지 않습니다.

이 문제를 해결하려면 권한을 가진 비연동 사용자를 만들거나 기존 비연동 사용자에게 iam:CreateServiceLinkedRole 권한을 부여하십시오. iam:CreateServiceLinkedRole 그런 다음 해당 사용자에게 에서 클러스터를 생성하도록 하십시오. AWS CLI 그러면 계정에서 서비스 연결 역할이 생성됩니다.

일단 서비스 연결 역할이 생성되면, 원할 경우 비 페더레이션 사용자가 생성한 클러스터를 삭제할 수 있습니다. 클러스터를 삭제해도 역할에는 영향을 미치지 않습니다. 이후 연합된 사용자를 포함하여 필수 권한을 보유한 모든 사용자가 계정에서 AWS CloudHSM 클러스터를 생성할 수 있습니다.

역할이 생성되었는지 확인하려면 https://console.aws.amazon.com/iam/ 에서 IAM 콘솔을 열고 역할을 선택합니다. 또는 에서 IAM get-role 명령을 사용할 수도 있습니다. AWS CLI 

$  aws iam get-role --role-name AWSServiceRoleForCloudHSM
{
    "Role": {
        "Description": "Role for CloudHSM service operations",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",		 	 	 
            "Statement": [
                {
                    "Action": "sts:AssumeRole",
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "cloudhsm.amazonaws.com"
                    }
                }
            ]
        },
        "RoleId": "AROAJ4I6WN5QVGG5G7CBY",
        "CreateDate": "2017-12-19T20:53:12Z",
        "RoleName": "AWSServiceRoleForCloudHSM",
        "Path": "/aws-service-role/cloudhsm.amazonaws.com/",
        "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM"
    }
}