AWS CloudHSM クラスターの cloudhsm_mgmt_util コマンドラインツールは次と同様のエラーを返します。
RET_MXN_AUTH_FAILED
このエラーはどのように解決すればよいですか?
簡単な説明
このエラーは M of N 認証が提供されていないことを示します。M of N はクォーラムベースの認証で、コマンドを実行するには、トークンに 2 名以上のユーザーの署名が必要であることを意味します。それにより、1 人のユーザーが、CloudHSM クラスターで不正なアクティビティを発生させることのないようにします。詳細については、「クォーラム認証 (M of N アクセスコントロール) の管理」をご参照ください。
listUsers コマンドで、MofnPubKey 値が NO に設定されていることが示されます。
aws-cloudhsm>aws-cloudhsm>listUsers
Users on server 0(172.31.21.34):
Number of users found:6
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 CO admin NO 0 NO
2 AU app_user NO 0 NO
3 CU cryptouser NO 0 NO
4 CO admin1 NO 0 NO
5 CO palmep NO 0 NO
6 CU user1 NO 0 NO
これは、クォーラムトークンに署名できるパブリックキーを持ったユーザーが、存在しないことを意味します。CO (Crypto Officer) ユーザーは、パブリックキーを、CloudHSM クラスターの registerMofnPubKey コマンドを使って登録する必要があります。詳細については、「署名のためのキーの作成と登録」をご参照ください。
解決方法
CloudHSM クラスターで getMValue コマンドを実行します。サービス 3 のコマンドの値を示すには、パラメータ 3 を使用します。このオペレーションでは、createuser、deleteUser、および changePswd を使用します。
aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
この例では、クラスターの HSM サーバーの値は 2 です。この値を 2 未満に下げることはできませんが、値を大きくすることができます。この値が誤って有効になっているときは、古い CloudHSM クラスターバックアップから復元できます。それには、非対称キーを、getMValue に指定されたユーザー数で作成し、登録する必要があります。その後、getMValue に指定されたユーザー数でクォーラムトークンを取得し、署名します。手順については、「Crypto Officers のクォーラム認証の使用: 初回セットアップ」をご参照ください。