CloudHSM の PRECO パスワードについて、「ログインしているユーザーによるパスワードの削除または変更が拒否されました」というエラーが発生します。 PRECO パスワードを変更する方法を教えてください。

最終更新日: 2021 年 1 月 14 日

PreCrypto Officer (PRECO) パスワードを変更するために、AWS CloudHSM へ最初にログインした後、次のようなエラーが表示されます。

aws-cloudhsm>changePswd PRECO admin test1234
*************************ご注意********************************
これは重要な操作であり、クラスター内のすべてのノードで
実行する必要があります。Cav サーバーは、これらの変更を、この操作が実行されていない、
または失敗したノードと同期しません。この操作がクラスター内の
すべてのノードで実行されていることを確認してください。
****************************************************************

続行しますか (y/n)? y
2 つのノードの admin(PRECO) のパスワードを変更中
changePswd が失敗しました: HSM エラー: ログインしているユーザーによるパスワードの削除または変更が拒否されました
ノード 0(172.31.3.131) でパスワードを変更できませんでした

簡単な説明

この問題は次の場合に発生します。

  • 追加ユーザーを作成したり、パスワードをリセットしたりできない場合の新しい CloudHSM クラスター。
  • 設定ツール (cloudhsm_mgmt_util.cfg) を使用した後の HSM データの設定が正しくない。

注意: インスタンスが以前 CloudHSM クラスターでセットアップされている場合、既に cloudhsm_mgmt_util.cfg ファイルがインストールされている可能性があります。

/opt/cloudhsm/bin/configure -a IP_address コマンドを実行すると、古いエントリを削除する代わりに、ファイルディレクトリに IP アドレスが追加されます。これは、設定ファイルに重複した IP アドレスがあり、cloudhsm_mgmt_util コマンドが同じ CloudHSM への 2 つのセッションを作成することを意味します。

この例では、誤って設定された cloudhsm_mgmt_util.cfg ファイルの重複エントリにご注意ください。

{
    "scard": {
        "certificate": "cert-sc",
        "enable": "no",
        "pkey": "pkey-sc",
        "port": 2225
    },
    "servers": [
        {
            "CAfile": "",
            "CApath": "/opt/cloudhsm/etc/certs",
            "certificate": "/opt/cloudhsm/etc/client.crt",
            "e2e_encryption": {
                "enable": "yes",
                "owner_cert_path": "/opt/cloudhsm/etc/customerCA.crt"
            },
            "enable": "yes",
            "hostname": "172.31.3.131",
            "name": "172.31.3.131",
            "pkey": "/opt/cloudhsm/etc/client.key",
            "port": 2225,
            "server_ssl": "yes",
            "ssl_ciphers": ""
        },
        {
            "CAfile": "",
            "CApath": "/opt/cloudhsm/etc/certs",
            "certificate": "/opt/cloudhsm/etc/client.crt",
            "e2e_encryption": {
                "enable": "yes",
                "owner_cert_path": "/opt/cloudhsm/etc/customerCA.crt"
            },
            "enable": "yes",
            "hostname": "172.31.3.131",
            "name": "172.31.3.131",
            "pkey": "/opt/cloudhsm/etc/client.key",
            "port": 2225,
            "server_ssl": "yes",
            "ssl_ciphers": ""
        }
    ]
}

注意: 新しいインスタンスには、cloudhsm_mgmt_util.cfg ファイルに関する問題はありません。

解決方法

この問題を解決するには、cloudhsm_mgmt_util.cfg ファイルの余分なエントリを削除します。次に、CloudHSM クラスターに再接続し、PRECO パスワードを変更します。

Precrypto Officer (PRECO)

この記事はお役に立ちましたか?

フィードバックを送信

請求に関するサポートまたは技術的なサポートが必要ですか?

AWS サポートにお問い合わせください