CloudHSM の PRECO パスワードについて、「ログインしているユーザーがパスワードの削除または変更を拒否されました」というエラーが発生します。 PRECO パスワードを変更する方法を教えてください。

最終更新日: 2019 年 10 月 10 日

PreCrypto Officer (PRECO) パスワードを変更するために、AWS CloudHSM へ最初にログインした後、次のようなエラーが表示されます。

aws-cloudhsm>changePswd PRECO admin test1234
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. Cav server does NOT synchronize these changes with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
Changing password for admin(PRECO) on 2 nodes
changePswd failed: HSM Error: Deletion or Changing password of a logged in User is denied
Changing password on node 0(172.31.3.131) failed

簡単な説明

この問題は次の場合に発生します。

  • 追加ユーザーを作成したり、パスワードをリセットしたりできない場合の新しい CloudHSM クラスター。
  • 設定ツール (cloudhsm_mgmt_util.cfg) を使用した後の HSM データの設定が正しくない。

注意: インスタンスが以前 CloudHSM クラスターでセットアップされている場合、既に cloudhsm_mgmt_util.cfg ファイルがインストールされている可能性があります。

/opt/cloudhsm/bin/configure -a IP_address コマンドを実行すると、古いエントリを削除する代わりに、ファイルディレクトリに IP アドレスが追加されます。これは、設定ファイルに重複した IP アドレスがあり、cloudhsm_mgmt_util コマンドが同じ CloudHSM への 2 つのセッションを作成することを意味します。

この例では、誤って設定された cloudhsm_mgmt_util.cfg ファイルの重複エントリにご注意ください。

{
    "scard": {
        "certificate": "cert-sc",
        "enable": "no",
        "pkey": "pkey-sc",
        "port": 2225
    },
    "servers": [
        {
            "CAfile": "",
            "CApath": "/opt/cloudhsm/etc/certs",
            "certificate": "/opt/cloudhsm/etc/client.crt",
            "e2e_encryption": {
                "enable": "yes",
                "owner_cert_path": "/opt/cloudhsm/etc/customerCA.crt"
            },
            "enable": "yes",
            "hostname": "172.31.3.131",
            "name": "172.31.3.131",
            "pkey": "/opt/cloudhsm/etc/client.key",
            "port": 2225,
            "server_ssl": "yes",
            "ssl_ciphers": ""
        },
        {
            "CAfile": "",
            "CApath": "/opt/cloudhsm/etc/certs",
            "certificate": "/opt/cloudhsm/etc/client.crt",
            "e2e_encryption": {
                "enable": "yes",
                "owner_cert_path": "/opt/cloudhsm/etc/customerCA.crt"
            },
            "enable": "yes",
            "hostname": "172.31.3.131",
            "name": "172.31.3.131",
            "pkey": "/opt/cloudhsm/etc/client.key",
            "port": 2225,
            "server_ssl": "yes",
            "ssl_ciphers": ""
        }
    ]
}

注意: 新しいインスタンスには、cloudhsm_mgmt_util.cfg ファイルに関する問題はありません。

解決方法

この問題を解決するには、cloudhsm_mgmt_util.cfg ファイルの余分なエントリを削除します。次に、CloudHSM クラスターに再接続し、PRECO パスワードを変更します。

Precrypto Officer (PRECO)

この記事はお役に立ちましたか?

はい
いいえ

改善できることはありますか?

ご意見をお聞かせください

さらにサポートが必要な場合

AWS サポートにお問い合わせください