我的 AWS CloudHSM 叢集的 cloudhsm_mgmt_util 命令列工具傳回類似下列的錯誤: RET_MXN_AUTH_FAILED。我該如何解決這個問題?
簡短說明
此錯誤表示未提供 N 個身分驗證中的 M 個。N 個身分驗證中的 M 個是以 Quorum 為基礎的身分驗證,表示至少有兩位使用者必須簽署權杖以執行命令。這樣便可確保單一使用者無法讓 CloudHSM 叢集出現不正確的活動。如需詳細資訊,請參閱管理 Quorum 身分驗證 (N 個存取控制中的 M 個)。
listUsers 命令表示 MofnPubKey 值已設為 NO。
aws-cloudhsm>aws-cloudhsm>listUsers
Users on server 0(172.31.21.34):
Number of users found:6
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 CO admin NO 0 NO
2 AU app_user NO 0 NO
3 CU cryptouser NO 0 NO
4 CO admin1 NO 0 NO
5 CO palmep NO 0 NO
6 CU user1 NO 0 NO
這表示沒有使用者擁有可簽署 Quorum 權杖的公用金鑰。CO (加密管理員) 使用者必須使用 registerMofnPubKey 命令,為 CloudHSM 叢集註冊公用金鑰。如需詳細資訊,請參閱建立並註冊金鑰以進行簽署。
解決方法
在 CloudHSM 叢集上執行 getMValue 命令。使用參數 3 表示命令值位於服務 3 下方。此操作使用 createuser、deleteUser 及 changePswd。
aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
在此範例中,叢集的 HSM 伺服器值為 2。此值不能降至 2 以下,但可將值往上增加。如果此值意外啟用,您可以將其從舊版 CloudHSM 叢集備份還原。若要解決此問題,您必須使用 getMValue 中指定的使用者數,建立並註冊非對稱金鑰。然後,您必須依照 getMValue 中指定的使用者數,擷取並簽署 Quorum 權杖。如需說明,請參閱使用適用於加密管理員的 Quorum 身分驗證:第一次設定。