Comment résoudre l'erreur « RET_MXN_AUTH_FAILED » avec la commande cloudhsm_mgmt_util pour CloudHSM ?

Dernière mise à jour : 05/03/2021

L'outil de ligne de commande cloudhsm_mgmt_util pour mon cluster AWS CloudHSM renvoie une erreur similaire à ce qui suit :

RET_MXN_AUTH_FAILED

Comment résoudre ce problème ?

Brève description

Cette erreur signifie qu'aucune authentification M sur N n'est fournie. M sur N est une authentification par quorum, ce qui signifie qu'au moins deux utilisateurs doivent signer un jeton pour exécuter une commande. Cela permet de garantir qu'un utilisateur ne peut pas effectuer à lui seul une opération non voulue sur le cluster CloudHSM. Pour plus d'informations, consultez Gestion de l'authentification par quorum (contrôle d'accès M sur N).

La commande listUsers indique que la valeur MofnPubKey est définie sur NO.

aws-cloudhsm>aws-cloudhsm>listUsers
Users on server 0(172.31.21.34):
Number of users found:6
    User Id        User Type    User Name     MofnPubKey    LoginFailureCnt     2FA
         1            CO        admin           NO               0               NO
         2            AU        app_user        NO               0               NO
         3            CU        cryptouser      NO               0               NO
         4            CO        admin1          NO               0               NO
         5            CO        palmep          NO               0               NO
         6            CU        user1           NO               0               NO

Cela indique qu'aucun utilisateur ne dispose d'une clé publique pouvant signer des jetons de quorum. Les responsables de chiffrement doivent enregistrer la clé publique à l'aide de la commande registerMofnPubKey pour le cluster CloudHSM. Pour plus d'informations, consultez Création et enregistrement d'une clé pour la signature.

Résolution

Exécutez la commande getMValue sur le cluster CloudHSM. Utilisez le paramètre 3 pour indiquer la valeur des commandes sous service 3. Cette opération utilise les commandes createuser, deleteUser et changePswd.

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

Dans cet exemple, la valeur des serveurs HSM pour le cluster est 2. Cette valeur ne peut pas être diminuée à moins de 2, mais elle peut être augmentée. Si cette valeur est activée par accident, vous pouvez la restaurer à partir d'une sauvegarde de cluster CloudHSM antérieure. Pour résoudre ce problème, vous devez créer et enregistrer une clé asymétrique avec le nombre d'utilisateurs spécifié dans getMValue. Vous devez ensuite récupérer et signer un jeton de quorum par le nombre d'utilisateurs spécifié dans la commande getMValue. Pour obtenir des instructions, consultez Utilisation de l'authentification par quorum pour les responsables de chiffrement : première configuration.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?