CloudHSM에 대해 cloudhsm_mgmt_util 명령을 사용하여 "RET_MXN_AUTH_FAILED" 오류를 해결할 수 있는 방법은 무엇입니까?

간략한 설명

이 오류는 N 중 M 인증이 제공되지 않았다는 점을 의미합니다. N 중 M은 쿼럼 기반 인증이므로 2명 이상의 사용자가 토큰에 서명하여 명령을 실행해야 합니다. 이렇게 하면 단일 사용자가 CloudHSM 클러스터에서 잘못된 활동을 유발할 수 없습니다. 자세한 내용은 쿼럼 인증 관리(N 중 M 액세스 제어)를 참조하세요.

listUsers 명령은 MofnPubKey 값이 NO로 설정되어 있음을 나타냅니다.

aws-cloudhsm>aws-cloudhsm>listUsers
Users on server 0(172.31.21.34):
Number of users found:6
    User Id        User Type    User Name     MofnPubKey    LoginFailureCnt     2FA
         1            CO        admin           NO               0               NO
         2            AU        app_user        NO               0               NO
         3            CU        cryptouser      NO               0               NO
         4            CO        admin1          NO               0               NO
         5            CO        palmep          NO               0               NO
         6            CU        user1           NO               0               NO

이는 쿼럼 토큰에 서명할 수 있는 퍼블릭 키를 가진 사용자가 없음을 가리킵니다. CO(Crypto Officer) 사용자는 CloudHSM 클러스터에 대해 registerMofnPubKey 명령을 사용하여 퍼블릭 키를 등록해야 합니다. 자세한 내용은 서명용 키 생성 및 등록을 참조하세요.

해결 방법

CloudHSM 클러스터에 getMValue 명령을 실행합니다. 파라미터 3을 사용하여 서비스 3의 명령값을 나타냅니다. 이 작업은 createuser, deleteUser 및 changePswd를 사용합니다.

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

이 예제에서 클러스터의 HSM 서버 값은 2입니다. 이 값은 2 아래로 낮아질 수 없지만 값을 올릴 수는 있습니다. 실수로 이 값을 활성화한 경우 이전 CloudHSM 클러스터 백업에서 복원할 수 있습니다. 이 문제를 해결하려면 getMValue에 지정된 사용자 수로 비대칭 키를 생성 및 등록해야 합니다. 그런 다음 쿼럼 토큰을 검색하여 getMValue에 지정된 사용자 수만큼 서명해야 합니다. 관련 지침은 CO(Crypto Officer)에 대한 쿼럼 인증 사용: 최초 설정을 참조하세요.

---