¿Cómo puedo resolver el error «RET_MXN_AUTH_FAILED» con el comando cloudhsm_mgmt_util para CloudHSM?

2 minutos de lectura
0

La herramienta de línea de comandos cloudhsm_mgmt_util de mi clúster de AWS CloudHSM devuelve un error similar al siguiente: RET_MXN_AUTH_FAILED ¿Cómo puedo resolver esto?

Breve descripción

Este error significa que no se ha proporcionado ninguna autenticación M de N. M de N es una autenticación basada en quórum, lo que significa que al menos dos usuarios deben firmar un token para ejecutar un comando. Esto garantiza que un solo usuario no pueda provocar una actividad incorrecta en el clúster de CloudHSM. Para obtener más información, consulte Administrar la autenticación de quórum (control de acceso M de N).

El comando listUsers indica que el valor MofnPubKey está establecido en NO.

aws-cloudhsm>aws-cloudhsm>listUsers
Users on server 0(172.31.21.34):
Number of users found:6
    User Id        User Type    User Name     MofnPubKey    LoginFailureCnt     2FA
         1            CO        admin           NO               0               NO
         2            AU        app_user        NO               0               NO
         3            CU        cryptouser      NO               0               NO
         4            CO        admin1          NO               0               NO
         5            CO        palmep          NO               0               NO
         6            CU        user1           NO               0               NO

Esto indica que ningún usuario tiene una clave pública que pueda firmar los tokens de quórum. Los usuarios de CO (responsable de criptografía) deben registrar la clave pública mediante el comando registerMofnPubKey para el clúster de CloudHSM. Para obtener más información, consulte Crear y registrar una clave para firmar.

Resolución

Ejecute el comando getMValue en el clúster de CloudHSM. Utilice el parámetro 3 para indicar el valor de los comandos del servicio 3. Esta operación usa createuser, deleteUser y changePswd.

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

En este ejemplo, el valor de los servidores HSM del clúster es 2. Este valor no se puede reducir por debajo de 2, pero se puede aumentar. Si este valor se habilita por accidente, puede restaurarlo desde una copia de seguridad de un clúster de CloudHSM anterior. Para resolver este problema, debe crear y registrar una clave asimétrica con el número de usuarios especificado en getMValue. A continuación, debe recuperar y firmar un token de quórum según el número de usuarios especificado en getMValue. Para obtener instrucciones, consulte Uso de la autenticación de quórum para responsables de criptografía: first-time setup.


OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 3 años