Le mot de passe PRECO pour CloudHSM échoue avec l'erreur « Deletion or Changing password of a logged in User is denied ». Comment modifier mon mot de passe PRECO ?

Date de la dernière mise à jour : 10/10/2019

Après la connexion initiale à AWS CloudHSM pour modifier le mot de passe du responsable du préchiffrement (PRECO), vous risquez de recevoir une erreur similaire à la suivante :

aws-cloudhsm>changePswd PRECO admin test1234
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. Cav server does NOT synchronize these changes with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
Changing password for admin(PRECO) on 2 nodes
changePswd failed: HSM Error: Deletion or Changing password of a logged in User is denied
Changing password on node 0(172.31.3.131) failed

Brève description

Cette erreur peut se produire avec :

  • les nouveaux clusters CloudHSM, car vous ne pouvez pas créer d'utilisateurs supplémentaires ou réinitialiser votre mot de passe ;
  • des données HSM mal configurées après utilisation de l'outil Configure (cloudhsm_mgmt_util.cfg).

Remarque : si l'instance a été précédemment configurée avec un cluster CloudHSM, un fichier cloudhsm_mgmt_util.cfg file peut être déjà installé.

L'exécution de la commande /opt/cloudhsm/bin/configure -a IP_address ajoute l'adresse IP dans le répertoire de fichiers au lieu de supprimer les entrées plus anciennes. Cela signifie que le fichier de configuration a une adresse IP dupliquée et que la commande cloudhsm_mgmt_util crée deux sessions sur le même CloudHSM.

Dans cet exemple, notez l'entrée dupliquée d'un fichier cloudhsm_mgmt_util.cfg mal configuré. 

{
    "scard": {
        "certificate": "cert-sc",
        "enable": "no",
        "pkey": "pkey-sc",
        "port": 2225
    },
    "servers": [
        {
            "CAfile": "",
            "CApath": "/opt/cloudhsm/etc/certs",
            "certificate": "/opt/cloudhsm/etc/client.crt",
            "e2e_encryption": {
                "enable": "yes",
                "owner_cert_path": "/opt/cloudhsm/etc/customerCA.crt"
            },
            "enable": "yes",
            "hostname": "172.31.3.131",
            "name": "172.31.3.131",
            "pkey": "/opt/cloudhsm/etc/client.key",
            "port": 2225,
            "server_ssl": "yes",
            "ssl_ciphers": ""
        },
        {
            "CAfile": "",
            "CApath": "/opt/cloudhsm/etc/certs",
            "certificate": "/opt/cloudhsm/etc/client.crt",
            "e2e_encryption": {
                "enable": "yes",
                "owner_cert_path": "/opt/cloudhsm/etc/customerCA.crt"
            },
            "enable": "yes",
            "hostname": "172.31.3.131",
            "name": "172.31.3.131",
            "pkey": "/opt/cloudhsm/etc/client.key",
            "port": 2225,
            "server_ssl": "yes",
            "ssl_ciphers": ""
        }
    ]
}

Remarque : les nouvelles instances n'auront pas de problèmes avec le fichier cloudhsm_mgmt_util.cfg.

Résolution

Pour résoudre l'erreur, supprimez l'entrée en trop dans le fichier cloudhsm_mgmt_util.cfg. Ensuite, reconnectez-vous au cluster CloudHSM et modifiez le mot de passe PRECO.

Responsable du préchiffrement (PRECO)

Cet article vous a-t-il été utile ?

Oui
Non

Cette page peut-elle être améliorée ?

N'hésitez pas à nous contacter.

Vous avez besoin d'aide ?

Contactez AWS Support.