AWS CloudHSM 클러스터용 cloudhsm_mgmt_util 명령줄 도구가 다음과 같은 오류를 반환합니다.
RET_MXN_AUTH_FAILED
이를 해결하려면 어떻게 해야 합니까?
간략한 설명
이 오류는 N 중 M 인증이 제공되지 않았다는 점을 의미합니다. N 중 M은 쿼럼 기반 인증이므로 2명 이상의 사용자가 토큰에 서명하여 명령을 실행해야 합니다. 이렇게 하면 단일 사용자가 CloudHSM 클러스터에서 잘못된 활동을 유발할 수 없습니다. 자세한 내용은 쿼럼 인증 관리(N 중 M 액세스 제어)를 참조하세요.
listUsers 명령은 MofnPubKey 값이 NO로 설정되어 있음을 나타냅니다.
aws-cloudhsm>aws-cloudhsm>listUsers
Users on server 0(172.31.21.34):
Number of users found:6
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 CO admin NO 0 NO
2 AU app_user NO 0 NO
3 CU cryptouser NO 0 NO
4 CO admin1 NO 0 NO
5 CO palmep NO 0 NO
6 CU user1 NO 0 NO
이는 쿼럼 토큰에 서명할 수 있는 퍼블릭 키를 가진 사용자가 없음을 가리킵니다. CO(Crypto Officer) 사용자는 CloudHSM 클러스터에 대해 registerMofnPubKey 명령을 사용하여 퍼블릭 키를 등록해야 합니다. 자세한 내용은 서명용 키 생성 및 등록을 참조하세요.
해결 방법
CloudHSM 클러스터에 getMValue 명령을 실행합니다. 파라미터 3을 사용하여 서비스 3의 명령값을 나타냅니다. 이 작업은 createuser, deleteUser 및 changePswd를 사용합니다.
aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
이 예제에서 클러스터의 HSM 서버 값은 2입니다. 이 값은 2 아래로 낮아질 수 없지만 값을 올릴 수는 있습니다. 실수로 이 값을 활성화한 경우 이전 CloudHSM 클러스터 백업에서 복원할 수 있습니다. 이 문제를 해결하려면 getMValue에 지정된 사용자 수로 비대칭 키를 생성 및 등록해야 합니다. 그런 다음 쿼럼 토큰을 검색하여 getMValue에 지정된 사용자 수만큼 서명해야 합니다. 관련 지침은 CO(Crypto Officer)에 대한 쿼럼 인증 사용: 최초 설정을 참조하세요.