CloudHSM의 PRECO 암호가 "Deletion or Changing password of a logged in User is denied" 오류와 함께 실패합니다. PRECO 암호를 변경하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2019년 10월 10일

PRECO(Precrypto Officer) 암호를 변경하기 위해 처음 AWS CloudHSM에 로그인한 후 다음과 유사한 오류가 발생합니다.

aws-cloudhsm>changePswd PRECO admin test1234
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. Cav server does NOT synchronize these changes with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
Changing password for admin(PRECO) on 2 nodes
changePswd failed: HSM Error: Deletion or Changing password of a logged in User is denied
Changing password on node 0(172.31.3.131) failed

간략한 설명

이 문제는 다음 경우에 발생합니다.

  • 새로운 CloudHSM 클러스터인 경우(추가 사용자를 생성하거나 암호를 재설정할 수 없기 때문입니다).
  • 구성 도구(cloudhsm_mgmt_util.cfg)를 사용한 후 HSM 데이터가 잘못 구성된 경우.

참고: 이전에 CloudHSM 클러스터를 사용하여 인스턴스를 설정한 경우 이미 cloudhsm_mgmt_util.cfg 파일이 설치되어 있을 수 있습니다.

/opt/cloudhsm/bin/configure -a IP_address 명령을 실행하면 이전 항목을 제거하는 대신 파일 디렉터리에 IP 주소가 추가됩니다. 즉, config 파일에 중복 IP 주소가 있게 되고 cloudhsm_mgmt_util 명령은 동일한 CloudHSM에 대해 두 개의 세션을 생성합니다.

이 예에서 잘못 구성된 cloudhsm_mgmt_util.cfg 파일에 중복된 항목이 있는 것을 볼 수 있습니다.

{
    "scard": {
        "certificate": "cert-sc",
        "enable": "no",
        "pkey": "pkey-sc",
        "port": 2225
    },
    "servers": [
        {
            "CAfile": "",
            "CApath": "/opt/cloudhsm/etc/certs",
            "certificate": "/opt/cloudhsm/etc/client.crt",
            "e2e_encryption": {
                "enable": "yes",
                "owner_cert_path": "/opt/cloudhsm/etc/customerCA.crt"
            },
            "enable": "yes",
            "hostname": "172.31.3.131",
            "name": "172.31.3.131",
            "pkey": "/opt/cloudhsm/etc/client.key",
            "port": 2225,
            "server_ssl": "yes",
            "ssl_ciphers": ""
        },
        {
            "CAfile": "",
            "CApath": "/opt/cloudhsm/etc/certs",
            "certificate": "/opt/cloudhsm/etc/client.crt",
            "e2e_encryption": {
                "enable": "yes",
                "owner_cert_path": "/opt/cloudhsm/etc/customerCA.crt"
            },
            "enable": "yes",
            "hostname": "172.31.3.131",
            "name": "172.31.3.131",
            "pkey": "/opt/cloudhsm/etc/client.key",
            "port": 2225,
            "server_ssl": "yes",
            "ssl_ciphers": ""
        }
    ]
}

참고: 새 인스턴스에는 cloudhsm_mgmt_util.cfg 파일과 관련한 문제가 발생하지 않습니다.

​해결 방법

이 문제를 해결하려면 cloudhsm_mgmt_util.cfg 파일에서 추가 항목을 삭제합니다. 그런 다음 CloudHSM 클러스터에 다시 연결하고 PRECO 암호를 변경합니다.


이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?