CloudHSM の cloudhsm_mgmt_util コマンドで "RET_MXN_AUTH_FAILED" というエラーを解決する方法を教えてください。

最終更新日: 2019 年 9 月 6 日

AWS CloudHSM クラスターの cloudhsm_mgmt_util コマンドラインツールが、次のようなエラーを返します。

RET_MXN_AUTH_FAILED

解決方法を教えてください。

簡単な説明

このエラーは、M of N 認証が提供されていないことを示しています。M of N はクォーラムベースの認証です。つまり、コマンドを実行するには少なくとも 2 人のユーザーがトークンに署名している必要があります。それにより、1 人のユーザーが、CloudHSM クラスターで不正なアクティビティを発生させることのないようにします。詳細については、「クォーラム認証 (M of N アクセスコントロール) の実施」を参照してください。

listUsers コマンドで、MofnPubKey 値が NO に設定されていることが示されます。

aws-cloudhsm>aws-cloudhsm>listUsers
Users on server 0(172.31.21.34):
Number of users found:6
    User Id        User Type    User Name     MofnPubKey    LoginFailureCnt     2FA
         1            CO        admin           NO               0               NO
         2            AU        app_user        NO               0               NO
         3            CU        cryptouser      NO               0               NO
         4            CO        admin1          NO               0               NO
         5            CO        palmep          NO               0               NO
         6            CU        user1           NO               0               NO

これは、クォーラムトークンに署名できるパブリックキーを持ったユーザーが、存在しないことを意味します。CO (Crypto Officer) ユーザーは、パブリックキーを、CloudHSM クラスターの registerMofnPubKey コマンドを使って登録する必要があります。詳細については、「署名のためのキーの作成と登録」を参照してください。

解決方法

CloudHSM クラスターで getMValue コマンドを実行します。パラメータ 3 を使ってサービス 3 のコマンドの値を指定します。このオペレーションでは、createuserdeleteUser、および changePswd を使用します。

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

この例では、クラスターの HSM サーバーの値は 2 です。この値を 2 未満にすることはできませんが、値を上げることは可能です。この値が誤って有効になっているときは、古い CloudHSM クラスターバックアップから復元できます。それには、非対称キーを、getMValue に指定されたユーザー数で作成し、登録する必要があります。続いて、getMValue に指定されたユーザー数でクォーラムトークンを取得し、署名します。手順については、「Crypto Officers のクォーラム認証の使用: 初回セットアップ」を参照してください。


この記事は役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合