Wie kann ich den Fehler „RET_MXN_AUTH_FAILED“ mit dem Befehlszeilen-Tool cloudhsm_mgmt_util für CloudHSM beheben?

Lesedauer: 2 Minute

Das Befehlszeilen-Tool cloudhsm_mgmt_util für meinen AWS-CloudHSM-Cluster gibt einen Fehler wie den folgenden zurück: RET_MXN_AUTH_FAILED Wie kann ich dieses Problem beheben?

Kurzbeschreibung

Dieser Fehler bedeutet, dass keine M-of-N-Authentifizierung bereitgestellt wird. M-of-N ist eine Quorum-Authentifizierung, was bedeutet, dass mindestens zwei Benutzer ein Token signieren müssen, um einen Befehl auszuführen. Dadurch wird sichergestellt, dass ein einzelner Benutzer keine unerwünschten Aktivitäten im CloudHSM-Cluster verursachen kann. Weitere Informationen finden Sie unter Managing quorum authentication (M of N access control).

Der Befehl listUsers zeigt an, dass der Wert MofnPubKey auf NO gesetzt ist.

aws-cloudhsm>aws-cloudhsm>listUsers
Users on server 0(172.31.21.34):
Number of users found:6
    User Id        User Type    User Name     MofnPubKey    LoginFailureCnt     2FA
         1            CO        admin           NO               0               NO
         2            AU        app_user        NO               0               NO
         3            CU        cryptouser      NO               0               NO
         4            CO        admin1          NO               0               NO
         5            CO        palmep          NO               0               NO
         6            CU        user1           NO               0               NO

Dies bedeutet, dass kein Benutzer über einen öffentlichen Schlüssel verfügt, mit dem Quorumtoken signiert werden können. CO-Benutzer (Crypto Officer) müssen den öffentlichen Schlüssel mit dem Befehl registerMofnPubKey für den CloudHSM-Cluster registrieren. Weitere Informationen finden Sie unter Create and register a key for signing.

Behebung

Führen Sie den Befehl getMValue auf dem CloudHSM-Cluster aus. Verwenden Sie den Parameter 3, um den Wert für Befehle unter Service 3 anzugeben. Dieser Vorgang verwendet createuser, deleteUser und changePswd.

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

In diesem Beispiel ist der Wert für die HSM-Server für den Cluster 2. Dieser Wert kann nicht unter 2 gesenkt, aber erhöht werden. Wenn der Wert versehentlich aktiviert wurde, können Sie ihn aus einem älteren CloudHSM-Cluster-Backup wiederherstellen. Um dieses Problem zu lösen, müssen Sie einen asymmetrischen Schlüssel mit der in getMValue angegebenen Anzahl von Benutzern erstellen und registrieren. Anschließend müssen Sie ein Quorumtoken mit der in getMValue angegebenen Anzahl von Benutzern abrufen und signieren. Eine Anleitung dazu finden Sie unter Verwendung der Quorum-Authentifizierung für Krypto-Beauftragte: Ersteinrichtung.

Themen

Sicherheit, Identität & Konformität

Relevanter Inhalt

Wie kann ich meine Schlüssel mit OpenSSL und dem Befehlszeilentool key_mgmt_util sicher an CloudHSM übertragen?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie kann ich die Fehler „Daemon-Socket-Verbindungsfehler“ oder „Ungültiger Vorgang“ für meinen CloudHSM-Client beheben?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie behebe ich den CloudHSM-Fehler „InitializeCluster-Anfrage fehlgeschlagen“: CloudHsmInvalidRequestException – Der angegebene TrustAnchor ist kein gültiges x509-Zertifikat“?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie kann ich Verbindungsprobleme zwischen dem CloudHSM Client und CloudHSM Cluster beheben?
AWS OFFICIALAktualisiert vor 5 Monaten