如何使用 CloudHSM 的 cloudhsm_mgmt_util 命令解決錯誤 “RET_MXN_AUTH_FAILED”？

簡短說明

此錯誤表示未提供 N 個身分驗證中的 M 個。N 個身分驗證中的 M 個是以 Quorum 為基礎的身分驗證，表示至少有兩位使用者必須簽署權杖以執行命令。這樣便可確保單一使用者無法讓 CloudHSM 叢集出現不正確的活動。如需詳細資訊，請參閱管理 Quorum 身分驗證 (N 個存取控制中的 M 個)。

listUsers 命令表示 MofnPubKey 值已設為 NO。

aws-cloudhsm>aws-cloudhsm>listUsers
Users on server 0(172.31.21.34):
Number of users found:6
    User Id        User Type    User Name     MofnPubKey    LoginFailureCnt     2FA
         1            CO        admin           NO               0               NO
         2            AU        app_user        NO               0               NO
         3            CU        cryptouser      NO               0               NO
         4            CO        admin1          NO               0               NO
         5            CO        palmep          NO               0               NO
         6            CU        user1           NO               0               NO

這表示沒有使用者擁有可簽署 Quorum 權杖的公用金鑰。CO (加密管理員) 使用者必須使用 registerMofnPubKey 命令，為 CloudHSM 叢集註冊公用金鑰。如需詳細資訊，請參閱建立並註冊金鑰以進行簽署。

解決方法

在 CloudHSM 叢集上執行 getMValue 命令。使用參數 3 表示命令值位於服務 3 下方。此操作使用 createuser、deleteUser 及 changePswd。

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

在此範例中，叢集的 HSM 伺服器值為 2。此值不能降至 2 以下，但可將值往上增加。如果此值意外啟用，您可以將其從舊版 CloudHSM 叢集備份還原。若要解決此問題，您必須使用 getMValue 中指定的使用者數，建立並註冊非對稱金鑰。然後，您必須依照 getMValue 中指定的使用者數，擷取並簽署 Quorum 權杖。如需說明，請參閱使用適用於加密管理員的 Quorum 身分驗證：第一次設定。

---