Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Résolution des échecs AWS CloudHSM de création de clusters
<a name="troubleshooting-create-cluster"></a>

Lorsque vous créez un cluster, AWS CloudHSM crée le rôle lié au service AWSService RoleForCloud HSM, s'il n'existe pas déjà. Si vous AWS CloudHSM ne pouvez pas créer le rôle lié au service, votre tentative de création d'un cluster peut échouer.

Cette rubrique explique comment résoudre les problèmes les plus courants, afin de vous permettre de créer un cluster. Vous devez créer ce rôle une seule fois. Lorsque le rôle lié au service est créé dans votre compte, vous pouvez utiliser l'une des méthodes prises en charge pour créer et gérer des clusters supplémentaires.

Les sections suivantes présentent des suggestions pour résoudre les échecs de création de cluster relatifs au rôle lié au service. Si vous ne parvenez toujours pas à créer un cluster après avoir essayé d'appliquer ces suggestions, contactez [Support](https://aws.amazon.com/contact-us/). Pour plus d'informations sur le rôle lié au service AWSService RoleForCloud HSM, consultez. [Rôles liés à un service pour AWS CloudHSM](service-linked-roles.md) 

**Topics**
+ [Ajout de l'autorisation manquante](#missing-permission)
+ [Création manuelle du rôle lié à un service](#api-call-failure)
+ [Utiliser un utilisateur non fédéré](#non-federated-user)

## Ajout de l'autorisation manquante
<a name="missing-permission"></a>

Pour créer un rôle lié au service, l'utilisateur doit disposer de l'autorisation `iam:CreateServiceLinkedRole`. Si l'utilisateur IAM qui crée le cluster n'a pas cette autorisation, le processus de création du cluster échoue lorsqu'il essaie de créer le rôle lié au service dans votre compte. AWS 

Lorsqu'une autorisation manquante est à l'origine de l'échec, le message d'erreur inclut le texte suivant.

```
This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.
```

Pour résoudre cette erreur, donnez à l'utilisateur IAM qui crée le cluster l'autorisation `AdministratorAccess`, ou ajoutez l'autorisation `iam:CreateServiceLinkedRole` à la politique IAM de l'utilisateur. Pour obtenir des instructions, consultez [Ajout d'autorisations à un utilisateur existant ou nouvellement créé](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#w2ab1c19c19c26b9). 

Ensuite, réessayez de [créer le cluster](create-cluster.md). 

## Création manuelle du rôle lié à un service
<a name="api-call-failure"></a>

Vous pouvez utiliser la console, la CLI ou l'API IAM pour créer le rôle lié au service AWSService RoleForCloud HSM. Pour plus d'informations, consultez [Création d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l'utilisateur IAM*. 

## Utiliser un utilisateur non fédéré
<a name="non-federated-user"></a>

Les utilisateurs fédérés, dont les informations d'identification proviennent de l'extérieur AWS, peuvent effectuer de nombreuses tâches d'un utilisateur non fédéré. Toutefois, AWS n'autorise pas les utilisateurs à effectuer les appels d'API pour créer un rôle lié au service à partir d'un point de terminaison fédéré. 

Pour résoudre ce problème, [créez un utilisateur non fédéré](create-iam-user.md) avec l'autorisation `iam:CreateServiceLinkedRole`, ou donnez à un utilisateur non fédéré existant l'autorisation `iam:CreateServiceLinkedRole`. Ensuite, demandez à cet utilisateur de [créer un cluster](create-cluster.md) à partir de l' AWS CLI. Cela permet de créer le rôle lié au service dans votre compte.

Une fois le rôle lié au service créé, si vous préférez, vous pouvez supprimer le cluster créé par l'utilisateur non fédéré. La suppression du cluster n'affecte pas le rôle. Par la suite, tout utilisateur disposant des autorisations requises, y compris les utilisateurs fédérés, peut créer des AWS CloudHSM clusters dans votre compte.

Pour vérifier que le rôle a été créé, ouvrez la console IAM à l'adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)et sélectionnez **Rôles**. Vous pouvez également utiliser la commande [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) dans le AWS CLI.

```
$  aws iam get-role --role-name AWSServiceRoleForCloudHSM
 {
     "Role": {
         "Description": "Role for CloudHSM service operations",
         {{role policy statement}}
         "RoleId": "AROAJ4I6WN5QVGG5G7CBY",
         "CreateDate": "2017-12-19T20:53:12Z",
         "RoleName": "AWSServiceRoleForCloudHSM",
         "Path": "/aws-service-role/cloudhsm.amazonaws.com/",
         "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM"
     }
 }
```