如何解決在對 CloudHSM 使用 cloudhsm_mgmt_util 命令時遇到的錯誤 "RET_MXN_AUTH_FAILED"？

簡短說明

當您未提供法定人數身分驗證 (亦稱為 N 個中的 M 存取控制) 時，就會發生 RET_MXN_AUTH_FAILED 錯誤。至少必須有兩個使用者簽署權杖才可透過法定人數身分驗證執行命令。法定人數身分驗證可確保單一使用者無法讓 CloudHSM 叢集出現不正確的活動。

在此範例中，listUsers 命令的輸出顯示 MofnPubKey 值設定為 NO：

aws-cloudhsm>aws-cloudhsm>listUsers  
Users on server 0(172.31.21.34):
Number of users found:6
    User Id        User Type    User Name     MofnPubKey    LoginFailureCnt     2FA
         1            CO        admin           NO               0               NO
         2            AU        app_user        NO               0               NO
         3            CU        cryptouser      NO               0               NO
         4            CO        admin1          NO               0               NO
         5            CO        palmep          NO               0               NO
         6            CU        user1           NO               0               NO

當 MofnPubKey 值設為 NO 時，使用者沒有可以簽署法定人數權杖的公用金鑰。若要註冊公用金鑰，加密管理員 (CO) 必須使用對 CloudHSM 叢集使用 registerMofnPubKey 命令。

解決方法

在 CloudHSM 叢集上執行 getMValue 命令。使用參數 3 表示命令值位於服務 3 下方。此操作使用 createuser、deleteUser 及 changePswd：

aws-cloudhsm>getMValue 3MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

在上一個範例中，叢集的 HSM 伺服器值為 2。您不能將此值降低到 2 以下，但可以提高值。如果您無意開啟此值，則可以從 CloudHSM 叢集備份還原該值。

若要解決此問題，您必須使用 getMValue 中指定的使用者數，建立並註冊非對稱金鑰。然後，獲取法定人數權杖，並讓 getMValue 中指定的使用者簽署權杖。如需說明，請參閱使用適用於加密管理員的 Quorum 身分驗證：第一次設定。