Wie behebe ich den Fehler „RET_MXN_AUTH_FAILED“, den ich erhalte, wenn ich den Befehl cloudhsm_mgmt_util für CloudHSM verwende?

Lesedauer: 2 Minute

Das Befehlszeilentool cloudhsm_mgmt_util für meinen AWS-CloudHSM-Cluster hat den Fehler „RET_MXN_AUTH_FAILED“ zurückgegeben.

Kurzbeschreibung

Der Fehler RET_MXN_AUTH_FAILED tritt auf, wenn Sie keine Quorum-Authentifizierung angeben, auch bekannt als M-of-N-Zugriffskontrolle. Mindestens zwei Benutzer müssen ein Token signieren, um einen Befehl mit Quorum-Authentifizierung ausführen zu können. Quorum-Authentifizierung stellt sicher, dass ein einzelner Benutzer keine unerwünschten Aktivitäten im CloudHSM-Cluster verursachen kann.

In diesem Beispiel zeigt die Ausgabe des Befehls listUsers, dass der Wert MofnPubKey auf NO gesetzt ist:

aws-cloudhsm>aws-cloudhsm>listUsers  
Users on server 0(172.31.21.34):
Number of users found:6
    User Id        User Type    User Name     MofnPubKey    LoginFailureCnt     2FA
         1            CO        admin           NO               0               NO
         2            AU        app_user        NO               0               NO
         3            CU        cryptouser      NO               0               NO
         4            CO        admin1          NO               0               NO
         5            CO        palmep          NO               0               NO
         6            CU        user1           NO               0               NO

Wenn der Wert MofnPubKey auf NO gesetzt ist, haben Benutzer keinen öffentlichen Schlüssel, der Quorum-Tokens signieren kann. Um den öffentlichen Schlüssel zu registrieren, müssen Crypto Officer (CO) den Befehl registerMofnPubKey für den CloudHSM-Cluster ausführen.

Behebung

Führen Sie den Befehl getMValue auf dem CloudHSM-Cluster aus. Verwenden Sie den Parameter 3, um den Wert für Befehle unter Service 3 anzugeben. Dieser Vorgang verwendet createuser, deleteUser und changePswd:

aws-cloudhsm>getMValue 3MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

Im vorherigen Beispiel ist der Wert für die HSM-Server für den Cluster 2. Sie können diesen Wert nicht unter 2 senken, aber Sie können den Wert erhöhen. Wenn Sie diesen Wert versehentlich aktivieren, können Sie den Wert aus einem CloudHSM-Cluster-Backup wiederherstellen.

Um dieses Problem zu lösen, müssen Sie einen asymmetrischen Schlüssel mit der in getMValue angegebenen Anzahl von Benutzern erstellen und registrieren. Rufen Sie dann das Quorum-Token ab und lassen Sie die Benutzer, die in getMValue angegeben sind, das Token signieren. Eine Anleitung dazu finden Sie unter Verwendung der Quorum-Authentifizierung für Crypto Officers: Ersteinrichtung.

Themen

Sicherheit, Identität & Konformität

Relevanter Inhalt

Wie behebe ich Fehler beim Laden von Daten, wenn ich den COPY-Befehl in Amazon Redshift verwende?
AWS OFFICIALAktualisiert vor einem Jahr
Wie behebe ich den Fehler „AccessDeniedException“, wenn ich den AWS-CLI-Befehl create-group verwende, um QuickSight-Gruppen zu erstellen?
AWS OFFICIALAktualisiert vor einem Jahr
Wie behebe ich den Fehler „Resource specification is invalid“, wenn ich mit CloudFormation CLI den Befehl „cfn generate“ ausführe?
AWS OFFICIALAktualisiert vor 5 Monaten
Wie behebe ich den CloudHSM-Fehler „InitializeCluster-Anfrage fehlgeschlagen“: CloudHsmInvalidRequestException – Der angegebene TrustAnchor ist kein gültiges x509-Zertifikat“?
AWS OFFICIALAktualisiert vor einem Jahr