Como faço para resolver o erro “RET_MXN_AUTH_FAILED” com o comando cloudhsm_mgmt_util do CloudHSM?

2 minuto de leitura

A ferramenta de linha de comando cloudhsm_mgmt_util para meu cluster do AWS CloudHSM retorna um erro semelhante ao seguinte: RET_MXN_AUTH_FAILED Como faço para resolver isso?

Breve descrição

Esse erro significa que não há autenticação M de N fornecida. M de N é uma autenticação baseada em quórum, significando que pelo menos dois usuários devem assinar um token para executar um comando. Isso garante que um único usuário não possa causar atividades incorretas no cluster do CloudHSM. Para obter mais informações, consulte Gerenciar a autenticação de quórum (controle de acesso M of N).

O comando listUsers indica que o valor MofnPubKey está definido como NO.

aws-cloudhsm>aws-cloudhsm>listUsers
Users on server 0(172.31.21.34):
Number of users found:6
    User Id        User Type    User Name     MofnPubKey    LoginFailureCnt     2FA
         1            CO        admin           NO               0               NO
         2            AU        app_user        NO               0               NO
         3            CU        cryptouser      NO               0               NO
         4            CO        admin1          NO               0               NO
         5            CO        palmep          NO               0               NO
         6            CU        user1           NO               0               NO

Isso indica que nenhum usuário tem uma chave pública que possa assinar tokens de quórum. Os usuários do CO (crypto officer) devem registrar a chave pública usando o comando registerMofnPubKey para o cluster do CloudHSM. Para obter mais informações, consulte Criar e registrar uma chave para assinatura.

Resolução

Execute o comando getMValue no cluster do CloudHSM. Use o parâmetro 3 para indicar o valor dos comandos no serviço 3. Essa operação usa createuser, deleteUser e changePswd.

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

Neste exemplo, o valor dos servidores HSM do cluster é 2. Esse valor não pode ficar abaixo de 2, mas pode ser aumentado. Se esse valor for ativado acidentalmente, você poderá restaurá-lo a partir de um backup de cluster antigo do CloudHSM. Para resolver isso, você deve criar e registrar uma chave assimétrica com o número de usuários especificado em getMValue. Em seguida, você deve recuperar e assinar um token de quórum pelo número de usuários especificado em getMValue. Para obter instruções, consulte Usar a autenticação de quórum para agentes criptográficos: configuração inicial.

Tópicos

Segurança, identidade e conformidade

Conteúdo relevante

Como resolver o erro “Courier fetch: n of m shards failed” (Busca de courier: n de m fragmentos falharam) no OpenSearch Dashboards do Amazon OpenSearch Service?
AWS OFICIALAtualizada há 3 anos
Como resolvo o erro “Não há mais espaço no dispositivo” do AWS Batch?
AWS OFICIALAtualizada há 2 anos
Como faço para resolver o erro do CloudHSM “Falha na solicitação de InitializeCluster: CloudHsmInvalidRequestException - TrustAnchor fornecido não é um certificado x509 válido”?
AWS OFICIALAtualizada há 3 anos
Como posso resolver os erros “Erro de conexão do soquete daemon” ou “Operação inválida” de meu cliente do CloudHSM?
AWS OFICIALAtualizada há 3 anos