Comment corriger l'erreur « RET_MXN_AUTH_FAILED » qui s'affiche lorsque j'utilise la commande cloudhsm_mgmt_util pour CloudHSM ?

Brève description

L'erreur RET_MXN_AUTH_FAILED se produit si vous n’avez pas fourni une authentification par quorum, également connue sous le nom de contrôle d'accès M sur N. Au moins deux utilisateurs doivent signer un jeton pour exécuter une commande avec une authentification par quorum. L'authentification par quorum garantit qu'un utilisateur seul ne peut pas provoquer d'activité incorrecte sur le cluster CloudHSM.

Dans cet exemple, la sortie de la commande listUsers indique que la valeur MofnPubKey est définie sur NO :

aws-cloudhsm>aws-cloudhsm>listUsers  
Users on server 0(172.31.21.34):
Number of users found:6
    User Id        User Type    User Name     MofnPubKey    LoginFailureCnt     2FA
         1            CO        admin           NO               0               NO
         2            AU        app_user        NO               0               NO
         3            CU        cryptouser      NO               0               NO
         4            CO        admin1          NO               0               NO
         5            CO        palmep          NO               0               NO
         6            CU        user1           NO               0               NO

Lorsque la valeur MofnPubKey est définie sur NO, les utilisateurs ne disposent pas d’une clé publique pour signer des jetons de quorum. Pour enregistrer la clé publique, les responsables de chiffrement (CO) doivent exécuter la commande registerMofnPubKey pour le cluster CloudHSM. 

Résolution

Exécutez la commande getMValue sur le cluster CloudHSM. Utilisez le paramètre 3 pour indiquer la valeur des commandes du service 3. Cette opération utilise createuser, deleteUser et changePswd :

aws-cloudhsm>getMValue 3MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

Dans l'exemple ci-dessus, la valeur des serveurs HSM du cluster est définie sur 2. Cette valeur ne peut pas aller en dessous de 2, mais peut être augmentée. Si vous activez cette valeur par inadvertance, vous pouvez la restaurer à l'aide d'une sauvegarde de cluster CloudHSM.

Pour résoudre ce problème, vous devez créer et enregistrer une clé asymétrique avec le nombre d'utilisateurs spécifié dans getMValue. Puis, obtenez le jeton de quorum et demandez aux utilisateurs spécifiés dans getMValue de signer le jeton. Pour obtenir des instructions, consultez la page Utilisation de l'authentification par quorum pour les responsables de chiffrement : première configuration.