AWS CloudHSM Client SDK 5 用户复制失败
CloudHSM CLI 中的 user replicate 命令在克隆的 AWS CloudHSM 集群之间复制用户。本指南解决源集群内部或源集群与目标集群之间的用户不一致而导致的故障。用户复制通过检查以下属性来验证用户是否一致:
-
用户角色
-
账户锁定状态
-
仲裁状态
-
多重身份验证(MFA)状态
问题:所选用户未在整个集群中同步
用户复制过程检查用户是否已在整个源集群中同步。如果用户的属性的值“不一致”,则表示该用户未在集群内同步。用户复制失败,并显示以下错误消息:
{
"error_code": 1,
"data": "Specified user is inconsistent across the cluster"
}要检查源集群中的用户是否不同步,请执行以下操作:
在 CloudHSM CLI 中运行
user list命令。
aws-cloudhsm >user list{ "error_code": 0, "data": { "users": [ { "username": "admin", "role": "admin", "locked": "false", "mfa": [], "quorum": [], "cluster-coverage": "full" }, { "username": "example-inconsistent-user", "role": "admin", "locked": "false", "mfa": [], "quorum": [], "cluster-coverage": "inconsistent" }, { "username": "app_user", "role": "internal(APPLIANCE_USER)", "locked": "false", "mfa": [], "quorum": [], "cluster-coverage": "full" } ] } }
解决方案:在整个源集群中同步用户属性
要在整个源集群中同步用户信息,请参阅以下内容:AWS CloudHSM Client SDK 5 用户包含不一致的值。
问题:目标集群上存在具有不同属性的用户
如果目标集群中的一个或多个 HSM 中已经存在具有相同引用的用户,但其用户属性不同,则可能会出现以下错误:
{
"error_code": 1,
"data": "User replicate failed on 1 of 3 connections"
}解决方案
确定应保留哪个版本的用户。
通过运行
user delete命令删除相应集群中不需要的用户。请参阅使用 CloudHSM CLI 删除 AWS CloudHSM 用户了解更多信息。通过运行
user replicate命令复制用户。
问题:用户从 hsm2m.medium 复制到 hsm1.medium 失败
不支持用户从 hsm2medium 复制到 hsm1.medium。如果将用户从 hsm2m.medium 源集群复制到 hsm1.medium 目标集群,则会出现以下错误:
{
"error_code": 1,
"data": "User replicate failed on 1 of 1 connections"
}解决方案
通过 CloudHSM CLI 使用用户管理手动重新创建丢失的用户。
