Beheben Sie inkonsistente Benutzerwerte Beheben Sie inkonsistente mTLS-Richtlinienwerte

AWS CloudHSM Der Benutzer oder die Richtlinie des Client-SDK 5 enthält inkonsistente Werte

AWS CloudHSM synchronisiert Benutzer oder Richtlinien (wie mTLS-Einstellungen) nicht automatisch zwischen HSMs in einem Cluster. Die CloudHSM-CLI führt die Best-Efort-Synchronisation dieser Operationen über HSMs hinweg durch, aber es kann immer noch zu Inkonsistenzen kommen. Auf dieser Seite wird beschrieben, wie Sie Inkonsistenzen sowohl für Benutzer als auch für Richtlinien identifizieren und beheben können.

Beheben Sie inkonsistente Benutzerwerte

Der user list Befehl in AWS CloudHSM Client SDK 5 gibt eine Liste aller Benutzer und Benutzereigenschaften in Ihrem Cluster zurück. Wenn eine der Eigenschaften eines Benutzers den Wert "inconsistent" hat, wird dieser Benutzer nicht in Ihrem gesamten Cluster synchronisiert. Das bedeutet, dass der Benutzer mit unterschiedlichen Eigenschaften auf verschiedenen HSMs im Cluster existiert. Je nachdem, welche Eigenschaft inkonsistent ist, können unterschiedliche Reparaturschritte unternommen werden.

Die folgende Tabelle enthält Schritte zum Beheben von Inkonsistenzen für einen einzelnen Benutzer. Wenn ein einzelner Benutzer mehrere Inkonsistenzen aufweist, lösen Sie diese, indem Sie die folgenden Schritte von oben nach unten ausführen. Wenn mehrere Benutzer Inkonsistenzen aufweisen, arbeiten Sie diese Liste für jeden Benutzer durch und beheben Sie die Inkonsistenzen für diesen Benutzer vollständig, bevor Sie mit dem nächsten fortfahren.

Anmerkung

Um diese Schritte durchzuführen, sollten Sie idealerweise als Administrator angemeldet sein. Wenn Ihr Administratorkonto nicht konsistent ist, gehen Sie wie folgt vor, melden Sie sich beim Administrator an und wiederholen Sie die Schritte, bis alle Eigenschaften konsistent sind. Sobald Ihr Administratorkonto konsistent ist, können Sie diesen Administrator verwenden, um andere Benutzer im Cluster zu synchronisieren.

Inkonsistentes Merkmal	Beispielausgabe einer Benutzerliste	Auswirkung	Wiederherstellungsmethode
Die „Rolle“ des Benutzers ist „inkonsistent“	`{ "username": "test_user", "role": "inconsistent", "locked": "false", "mfa": [], "cluster-coverage": "full" }`	Dieser Benutzer ist CryptoUser bei einigen HSMs ein Administrator und bei anderen HSMs ein Admin. Dies kann passieren, wenn zwei SDKs versuchen, denselben Benutzer gleichzeitig mit unterschiedlichen Rollen zu erstellen. Sie müssen diesen Benutzer entfernen und ihn mit der gewünschten Rolle neu erstellen.	Melden Sie sich als Administrator an. Löschen Sie den Benutzer auf allen HSMs: user delete --username `<user's name>` --role admin user delete --username `<user's name>` --role crypto-user Erstellen Sie den Benutzer mit der gewünschten Rolle: user create --username `<user's name>` --role `<desired role>`
Der Benutzer „Cluster-Abdeckung“ ist „inkonsistent“	`{ "username": "test_user", "role": "crypto-user", "locked": "false", "mfa": [], "cluster-coverage": "inconsistent" }`	Dieser Benutzer ist in einer Teilmenge von HSMs im Cluster vorhanden. Dies kann passieren, wenn ein user create teilweise erfolgreich war oder wenn ein user delete teilweise erfolgreich war. Sie müssen Ihren vorherigen Vorgang beenden, indem Sie diesen Benutzer entweder erstellen oder aus Ihrem Cluster entfernen.	Wenn der Benutzer nicht existieren sollte, gehen Sie wie folgt vor: Melden Sie sich als Administrator an. Führen Sie diesen Befehl aus: user delete --username`<user's name>` --role admin Führen Sie den Befehl jetzt aus: user delete --username`<user's name>` --role crypto-user Wenn der Benutzer existieren sollte, gehen Sie wie folgt vor: Melden Sie sich als Administrator an. Führen Sie den folgenden Befehl aus: user create --username `<user's name>` --role `<desired role>`
Der Parameter „Gesperrt“ des Benutzers ist „inkonsistent“ oder „wahr“	`{ "username": "test_user", "role": "crypto-user", "locked": inconsistent, "mfa": [], "cluster-coverage": "full" }`	Dieser Benutzer ist für eine Teilmenge von HSMs gesperrt. Dies kann passieren, wenn ein Benutzer das falsche Passwort verwendet und sich nur mit einer Teilmenge von HSMs im Cluster verbindet. Sie müssen die Anmeldeinformationen des Benutzers ändern, damit sie im gesamten Cluster einheitlich sind.	Wenn der Benutzer MFA aktiviert hat, gehen Sie wie folgt vor: Melden Sie sich als Administrator an. Verwenden Sie den folgenden Befehl, um MFA vorübergehend zu deaktivieren: user change-mfa token-sign --username `<user's name>` --role `<desired role>` --disable Ändern Sie das Passwort des Benutzers, damit er sich bei allen HSMs anmelden kann: user change-password --username `<user's name>` --role `<desired role>` Wenn MFA für den Benutzer aktiv sein soll, befolgen Sie diese Schritte: Lassen Sie den Benutzer sich anmelden und MFA erneut aktivieren (dazu muss er Tokens signieren und seinen öffentlichen Schlüssel in einer PEM-Datei angeben): user change-mfa token-sign --username `<user's name>` --role `<desired role>` —token <File>
Der MFA-Status ist „inkonsistent“	`{ "username": "test_user", "role": "crypto-user", "locked": "false", "mfa": [ { "strategy": "token-sign", "status": "inconsistent" } ], "cluster-coverage": "full" }`	Dieser Benutzer hat unterschiedliche MFA-Flags auf verschiedenen HSMs im Cluster. Dies kann passieren, wenn ein MFA-Vorgang nur für eine Teilmenge von HSMs abgeschlossen wurde. Sie müssen das Passwort des Benutzers zurücksetzen und ihm erlauben, MFA erneut zu aktivieren.	Wenn der Benutzer MFA aktiviert hat, gehen Sie wie folgt vor: Melden Sie sich als Administrator an. Verwenden Sie den folgenden Befehl, um MFA vorübergehend zu deaktivieren: user change-mfa token-sign --username `<user's name>` --role `<desired role>` --disable Anschließend müssen Sie auch das Passwort des Benutzers ändern, damit er sich bei allen HSMs anmelden kann: user change-password --username `<user's name>` --role `<desired role>` Wenn MFA für den Benutzer aktiv sein soll, befolgen Sie diese Schritte: Lassen Sie den Benutzer sich anmelden und MFA erneut aktivieren (dazu muss er Tokens signieren und seinen öffentlichen Schlüssel in einer PEM-Datei angeben): user change-mfa token-sign --username `<user's name>` --role `<desired role>` —token <File>

Beheben Sie inkonsistente mTLS-Richtlinienwerte

Wie bei den Benutzern werden auch die mTLS-Richtlinien (Vertrauensanker und Durchsetzungsebene) nicht automatisch zwischen HSMs synchronisiert. Die CloudHSM-CLI führt bei der Ausführung von mTLS-Befehlen eine Best-Effort-Synchronisierung durch. Dennoch können Inkonsistenzen auftreten. Sie können den Synchronisierungsstatus Ihrer mTLS-Konfiguration mit den folgenden Befehlen überprüfen.

Überprüfen Sie die mTLS Trust Anker-Synchronisierung

Führen Sie den cluster mtls list-trust-anchors Befehl aus, um den Synchronisierungsstatus Ihrer Trust Anchors zu überprüfen. In der Ausgabe hat jeder Vertrauensanker ein cluster-coverage Feld. Wenn der Wert "full" ist, ist der Vertrauensanker auf allen HSMs vorhanden. Wenn der Wert nicht „voll“ ist, wird der Vertrauensanker nicht für alle HSMs im Cluster synchronisiert.


{
  "error_code": 0,
  "data": {
    "trust_anchors": [
      {
        "certificate-reference": "0x01",
        "certificate": "<PEM Encoded Certificate>",
        "cluster-coverage": "full"
      }
    ]
  }
}

Wenn ein Vertrauensanker eine inkonsistente Clusterabdeckung aufweist, führen Sie den Registrierungs- oder Abmeldebefehl erneut aus, um den Vorgang abzuschließen:

Um die Registrierung eines Vertrauensankers abzuschließen, der in einigen HSMs fehlt:

cluster mtls register-trust-anchor --path <path-to-certificate>
Um die Abmeldung eines Vertrauensankers abzuschließen, der entfernt werden sollte, gehen Sie wie folgt vor:

cluster mtls deregister-trust-anchor --certificate-reference <certificate-reference>

Weitere Informationen zur Einrichtung von mTLS finden Sie unter Gegenseitiges TLS zwischen Client und einrichten. AWS CloudHSM

Dokumentkonventionen

Das Client-SDK 3 verifiziert die Leistung

Fehler bei der Replikation von Client-SDK 5-Benutzern