Lo strumento della linea di comando cloudhsm_mgmt_util per il mio cluster AWS CloudHSM restituisce un errore simile al seguente: RET_MXN_AUTH_FAILED Come faccio a risolvere questo problema?
Breve descrizione
Questo errore indica che non è stata fornita alcuna autenticazione M di N. M di N è un'autenticazione basata sul quorum, il che significa che almeno due utenti devono firmare un token per eseguire un comando. Questo assicura che un singolo utente non possa causare attività errate sul cluster CloudHSM. Per ulteriori informazioni, consulta Gestire l'autenticazione del quorum (controllo di accesso M di N).
Il comando listUsers indica che il valore MofnPubKey è impostato su NO.
aws-cloudhsm>aws-cloudhsm>listUsers
Users on server 0(172.31.21.34):
Number of users found:6
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 CO admin NO 0 NO
2 AU app_user NO 0 NO
3 CU cryptouser NO 0 NO
4 CO admin1 NO 0 NO
5 CO palmep NO 0 NO
6 CU user1 NO 0 NO
Ciò indica che nessun utente dispone di una chiave pubblica in grado di firmare i token quorum. Gli utenti CO (crypto officer) devono registrare la chiave pubblica utilizzando il comando registerMofnPubKey per il cluster CloudHSM. Per ulteriori informazioni, consulta Creare e registrare una chiave per la firma.
Risoluzione
Esegui il comando getMValue sul cluster CloudHSM. Utilizzare il parametro 3 per indicare il valore per i comandi del servizio 3. Questa operazione utilizza createuser, deleteUser e changePswd.
aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
In questo esempio, il valore per i server HSM per il cluster è 2. Questo valore non può essere abbassato al di sotto di 2, ma può essere aumentato. Se questo valore viene abilitato per sbaglio, puoi ripristinarlo da un vecchio backup del cluster CloudHSM. Per risolvere questo problema, è necessario creare e registrare una chiave asimmetrica con il numero di utenti specificato in getMValue. È quindi necessario recuperare e firmare un token quorum in base al numero di utenti specificato in getMValue. Per istruzioni, consulta Utilizzare l'autenticazione del quorum per gli agenti di crittografia: prima configurazione.