Bekannte Probleme für hsm2m.medium-Instances AWS CloudHSM

Auswirkung: Die Anmeldung bei hsm2m.medium folgt einer zu strengen Interpretation der Compliance-Anforderungen, was zu einer erhöhten Latenz führt.

Lösung: Wenn Sie vor dem 20. Dezember 2025 eine neue hsm2m.medium-Instance erstellt oder von hsm1.medium zu hsm2m.medium migriert haben, müssen Sie Ihr Passwort zurücksetzen, um die Leistungsverbesserungen nutzen zu können, die wir für Anmeldevorgänge implementiert haben. Anweisungen finden Sie im Abschnitt zum Ändern des Kennworts.

Auswirkung: Die HSM-Instance hsm2m.medium hat eine verbesserte Fair-Share-Architektur, was im Vergleich zu hsm1.medium zu einer konsistenteren vorhersehbaren Leistung führt. Bei hsm1.medium können Kunden aufgrund der unregelmäßigen Nutzung von HSM-Ressourcen eine höhere Leistung bei der Suche nach Schlüsseln feststellen. Die Leistung von hsm1.medium für die Schlüsselsuche nimmt jedoch ab, wenn die HSM-Instanz gepatcht oder mit neuer Firmware aktualisiert wird. Dieses Problem betrifft Operationen wie in JCE. KeyStore.getKey()

Lösung: Dieses Problem wurde behoben. Es hat sich bewährt, die Ergebnisse von Suchoperationen zwischenzuspeichern. Durch das Zwischenspeichern wird die Gesamtzahl der Schlüsselsuchvorgänge reduziert, da es sich um einen ressourcenintensiven Vorgang in HSM handelt. Implementieren Sie außerdem clientseitige Wiederholungsversuche mit exponentiellem Backoff und Jitter, um Ausfälle bei der HSM-Drosselung zu reduzieren.

Auswirkung: Jeder CO-Benutzer, der versucht, das vertrauenswürdige Attribut eines Schlüssels festzulegen, erhält eine entsprechende Fehlermeldung. User type should be CO or CU

Lösung: Zukünftige Versionen des Client-SDK werden dieses Problem beheben. Updates werden in unseren Benutzerhandbüchern angekündigtDokumentverlauf.

Auswirkung: Der im FIPS-Modus ausgeführte ECDSA-Überprüfungsvorgang schlägt fehl. HSMs

Lösungsstatus: Dieses Problem wurde in der Version 5.13.0 des Client-SDK behoben. Sie müssen auf diese Client-Version oder eine neuere Version aktualisieren, um von dem Fix zu profitieren.

Auswirkung: Zertifikate im DER-Format können nicht als mTLS-Vertrauensanker mit der CloudHSM-CLI registriert werden.

Umgehung: Sie können ein Zertifikat im DER-Format mit dem Befehl openssl in das PEM-Format konvertieren: openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem

Auswirkung: Alle von der Anwendung ausgeführten Operationen werden angehalten und der Benutzer wird während der gesamten Lebensdauer der Anwendung mehrmals zur Eingabe der Passphrase auf der Standardeingabe aufgefordert. Bei Vorgängen kommt es zu einem Timeout und sie schlagen fehl, wenn die Passphrase nicht vor Ablauf der Zeitüberschreitungsdauer des Vorgangs angegeben wird.

Problemumgehung: Mit Passphrase verschlüsselte private Schlüssel werden für mTLs nicht unterstützt. Entfernen Sie die Passphrase-Verschlüsselung aus dem privaten Schlüssel des Clients

Auswirkung: Die Benutzerreplikation schlägt auf hsm2m.medium-Instances fehl, wenn die CloudHSM-CLI verwendet wird. Der user replicate Befehl funktioniert auf hsm1.medium-Instances erwartungsgemäß.

Lösung: Dieses Problem wurde behoben.

Auswirkung: Vorgänge wie das Generieren von Zufallszahlen können auf hsm2m.medium-Instances fehlschlagen, während AWS CloudHSM ein Backup erstellt.

Lösung: Implementieren Sie die folgenden bewährten Methoden, um Serviceunterbrechungen zu minimieren:

Weitere Informationen zu bewährten Methoden, finden Sie unter Bewährte Methoden für AWS CloudHSM.

Auswirkung: Beim Client-SDK 5.8 und höher werden einige HSM-gedrosselte Operationen nicht wiederholt

Problemumgehung: Folgen Sie den bewährten Methoden, um Ihren Cluster so zu gestalten, dass er die Last bewältigt und Wiederholungsversuche auf Anwendungsebene implementiert. Wir arbeiten derzeit an einer Lösung. Updates werden in unseren Benutzerhandbüchern angekündigtDokumentverlauf.

Lösungsstatus: Dieses Problem wurde im AWS CloudHSM Client SDK 5.16.2 behoben. Sie müssen ein Upgrade auf diese Client-Version oder eine neuere Version durchführen, um von dem Update zu profitieren.

Auswirkung: Wenn der AES/CBC Mechanismus zum Entpacken von Schlüsseln mithilfe des AWS CloudHSM JCE-Anbieters verwendet wird, schlagen Operationen mit einer mit Null gefüllten 16-Byte-IV auf hsm2m.medium-Instances aufgrund einer zusätzlichen Validierungsprüfung fehl, die in hsm1.medium-Instances nicht durchgeführt wurde.

Status der Lösung: Wir arbeiten an einer Lösung, die es ermöglicht, dass Null-Byte-Werte bei Unwrap-Vorgängen akzeptiert werden. IVs AES/CBC

Auswirkung: Dieses Problem betrifft Kaltstarts wie Bereitstellungen oder Neustarts von Client-Anwendungen. Die HSM-Instance hsm2m.medium verfügt über eine verbesserte Fair-Share-Architektur, die eine konsistentere Leistung, einen konsistenteren Durchsatz und eine konsistentere Latenz für alle Kunden gewährleistet. Derzeit stellen Sie auf hsm1.medium möglicherweise eine höhere Leistung als beabsichtigt bei der gleichzeitigen Initialisierung von HSM-Verbindungen fest. Die Leistung der Verbindungsinitialisierung von hsm1.medium hängt jedoch von den zugrunde liegenden Systemupdates ab.

Lösung: Halten Sie sich an bewährte Methoden und staffeln Sie die Bereitstellungen und Neustarts von Clientanwendungen, um die Anzahl der Clientanwendungen zu begrenzen, die HSM-Verbindungen gleichzeitig initialisieren. Wir empfehlen außerdem, Wiederholungsversuche auf Anwendungsebene für die Initialisierung von Client-Anwendungen zu implementieren. Verwenden Sie außerdem das Konfigurationstool mit, --cluster-id <cluster ID> um der Client-Konfigurationsdatei alle HSM-IP-Adressen hinzuzufügen.