CloudHSM の cloudhsm_mgmt_util コマンドで「RET_MXN_AUTH_FAILED」というエラーを解決する方法を教えてください。

簡単な説明

このエラーは M of N 認証が提供されていないことを示します。M of N はクォーラムベースの認証で、コマンドを実行するには、トークンに 2 名以上のユーザーの署名が必要であることを意味します。それにより、1 人のユーザーが、CloudHSM クラスターで不正なアクティビティを発生させることのないようにします。詳細については、「クォーラム認証 (M of N アクセスコントロール) の管理」をご参照ください。

listUsers コマンドで、MofnPubKey 値が NO に設定されていることが示されます。

aws-cloudhsm>aws-cloudhsm>listUsers
Users on server 0(172.31.21.34):
Number of users found:6
    User Id        User Type    User Name     MofnPubKey    LoginFailureCnt     2FA
         1            CO        admin           NO               0               NO
         2            AU        app_user        NO               0               NO
         3            CU        cryptouser      NO               0               NO
         4            CO        admin1          NO               0               NO
         5            CO        palmep          NO               0               NO
         6            CU        user1           NO               0               NO

これは、クォーラムトークンに署名できるパブリックキーを持ったユーザーが、存在しないことを意味します。CO (Crypto Officer) ユーザーは、パブリックキーを、CloudHSM クラスターの registerMofnPubKey コマンドを使って登録する必要があります。詳細については、「署名のためのキーの作成と登録」をご参照ください。

解決方法

CloudHSM クラスターで getMValue コマンドを実行します。サービス 3 のコマンドの値を示すには、パラメータ 3 を使用します。このオペレーションでは、createuser、deleteUser、および changePswd を使用します。

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

この例では、クラスターの HSM サーバーの値は 2 です。この値を 2 未満に下げることはできませんが、値を大きくすることができます。この値が誤って有効になっているときは、古い CloudHSM クラスターバックアップから復元できます。それには、非対称キーを、getMValue に指定されたユーザー数で作成し、登録する必要があります。その後、getMValue に指定されたユーザー数でクォーラムトークンを取得し、署名します。手順については、「Crypto Officers のクォーラム認証の使用: 初回セットアップ」をご参照ください。