A ferramenta de linha de comando cloudhsm_mgmt_util para meu cluster do AWS CloudHSM retorna um erro semelhante ao seguinte: RET_MXN_AUTH_FAILED Como faço para resolver isso?
Breve descrição
Esse erro significa que não há autenticação M de N fornecida. M de N é uma autenticação baseada em quórum, significando que pelo menos dois usuários devem assinar um token para executar um comando. Isso garante que um único usuário não possa causar atividades incorretas no cluster do CloudHSM. Para obter mais informações, consulte Gerenciar a autenticação de quórum (controle de acesso M of N).
O comando listUsers indica que o valor MofnPubKey está definido como NO.
aws-cloudhsm>aws-cloudhsm>listUsers
Users on server 0(172.31.21.34):
Number of users found:6
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 CO admin NO 0 NO
2 AU app_user NO 0 NO
3 CU cryptouser NO 0 NO
4 CO admin1 NO 0 NO
5 CO palmep NO 0 NO
6 CU user1 NO 0 NO
Isso indica que nenhum usuário tem uma chave pública que possa assinar tokens de quórum. Os usuários do CO (crypto officer) devem registrar a chave pública usando o comando registerMofnPubKey para o cluster do CloudHSM. Para obter mais informações, consulte Criar e registrar uma chave para assinatura.
Resolução
Execute o comando getMValue no cluster do CloudHSM. Use o parâmetro 3 para indicar o valor dos comandos no serviço 3. Essa operação usa createuser, deleteUser e changePswd.
aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
Neste exemplo, o valor dos servidores HSM do cluster é 2. Esse valor não pode ficar abaixo de 2, mas pode ser aumentado. Se esse valor for ativado acidentalmente, você poderá restaurá-lo a partir de um backup de cluster antigo do CloudHSM. Para resolver isso, você deve criar e registrar uma chave assimétrica com o número de usuários especificado em getMValue. Em seguida, você deve recuperar e assinar um token de quórum pelo número de usuários especificado em getMValue. Para obter instruções, consulte Usar a autenticação de quórum para agentes criptográficos: configuração inicial.