翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS CloudHSM クラスター作成の失敗の解決
<a name="troubleshooting-create-cluster"></a>

クラスターを作成すると、ロールがまだ存在しない場合、 は AWSServiceRoleForCloudHSM サービスにリンクされたロール AWS CloudHSM を作成します。がサービスにリンクされたロールを作成 AWS CloudHSM できない場合、クラスターの作成が失敗する可能性があります。

このトピックでは、クラスターを正常に作成できるように、代表的な問題の解決方法を示します。このロールは 1 回だけ作成する必要があります。サービスにリンクされたロールをアカウントに作成すると、サポートされている任意の方法を使用して、追加のクラスターを作成および管理できます。

以下のセクションでは、サービスにリンクされたロールに関連するクラスター作成エラーのトラブルシューティング対策を示します。これらの対策を試してもクラスターを作成できない場合は、[サポート](https://aws.amazon.com/contact-us/) までお問い合わせください。AWSServiceRoleForCloudHSM サービスにリンクされたロールの詳細については、「[のサービスにリンクされたロール AWS CloudHSM](service-linked-roles.md)」を参照してください。

**Topics**
+ [不足しているアクセス権限の追加](#missing-permission)
+ [サービスにリンクされたロールを手動で作成する](#api-call-failure)
+ [非フェデレーションユーザーの使用](#non-federated-user)

## 不足しているアクセス権限の追加
<a name="missing-permission"></a>

サービスにリンクされたロールを作成するには、`iam:CreateServiceLinkedRole` アクセス権限が必要です。クラスターを作成する IAM ユーザーにこのアクセス許可がない場合、 AWS アカウントでサービスにリンクされたロールを作成しようとすると、クラスターの作成プロセスは失敗します。

アクセス権限が不足しているためにエラーが発生すると、以下のエラーメッセージが表示されます。

```
This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.
```

このエラーを解決するには、クラスターを作成する IAM ユーザーに `AdministratorAccess` アクセス権限を付与するか、ユーザーの IAM ポリシーに `iam:CreateServiceLinkedRole` アクセス権限を追加します。手順については、「[新しいユーザーまたは既存のユーザーへのアクセス権限の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#w2ab1c19c19c26b9)」を参照してください。

その後で、もう一度[クラスターを作成](create-cluster.md)してみてください。

## サービスにリンクされたロールを手動で作成する
<a name="api-call-failure"></a>

IAM コンソール、CLI、または API を使用して、AWSServiceRoleForCloudHSM サービスにリンクされたロールを作成できます。詳細については、「IAM ユーザーガイド**」の「[サービスにリンクされたロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。

## 非フェデレーションユーザーの使用
<a name="non-federated-user"></a>

認証情報の発信元となるフェデレーティッドユーザーは AWS、フェデレーティッド以外のユーザーのタスクの多くを実行できます。ただし、AWS は、サービスにリンクされたロールをフェデレーションエンドポイントから作成するための API コールをユーザーに許可していません。

この問題を解決するには、[非フェデレーションユーザーを作成](create-iam-user.md)して `iam:CreateServiceLinkedRole` アクセス権限を付与するか、既存の非フェデレーションユーザーに `iam:CreateServiceLinkedRole` アクセス権限を付与します。次に、そのユーザーに [ から](create-cluster.md)クラスターを作成 AWS CLIしてもらいます。これにより、サービスにリンクされたロールがアカウントに作成されます。

サービスにリンクされたロールが作成されたら、必要に応じて、非フェデレーションユーザーが作成したクラスターを削除できます。クラスターを削除しても、ロールには影響しません。その後、フェデレーティッドユーザーを含む必要なアクセス許可を持つユーザーは、アカウントに AWS CloudHSM クラスターを作成できます。

ロールが作成されたことを検証するには、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開き、**ロール**を選択します。または、 AWS CLIの IAM [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) コマンドを使用します。

```
$  aws iam get-role --role-name AWSServiceRoleForCloudHSM
 {
     "Role": {
         "Description": "Role for CloudHSM service operations",
         {{role policy statement}}
         "RoleId": "AROAJ4I6WN5QVGG5G7CBY",
         "CreateDate": "2017-12-19T20:53:12Z",
         "RoleName": "AWSServiceRoleForCloudHSM",
         "Path": "/aws-service-role/cloudhsm.amazonaws.com/",
         "Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM"
     }
 }
```