Bekannte Probleme für hsm2m.medium-Instances AWS CloudHSM - AWS CloudHSM
Problem: Erhöhte Anmeldelatenz auf hsm2m.mediumProblem: Ein CO, der versucht, das vertrauenswürdige Attribut eines Schlüssels festzulegen, schlägt mit Client SDK 5.12.0 und früher fehlProblem: Die ECDSA-Überprüfung schlägt mit Client SDK 5.12.0 und früher für Cluster im FIPS-Modus fehlProblem: Nur Zertifikate im PEM-Format können mit der CloudHSM-CLI als MTLS-Vertrauensanker registriert werdenProblem: Kundenanwendungen beenden die Verarbeitung aller Anfragen, wenn mTLS mit einem durch Passphrase geschützten privaten Client-Schlüssel verwendet wird.Problem: Die Benutzerreplikation schlägt fehl, wenn die CloudHSM-CLI verwendet wirdProblem: Während der Backup-Erstellung können Operationen fehlschlagenProblem: Das Client-SDK 5.8 und höher führen in einigen Szenarien auf hsm2m.medium keine automatischen Wiederholungsversuche für HSM-gedrosselte Operationen durch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bekannte Probleme für hsm2m.medium-Instances AWS CloudHSM

Die folgenden Probleme betreffen alle hsm2m.medium-Instanzen. AWS CloudHSM

Problem: Erhöhte Anmeldelatenz auf hsm2m.medium

  • Auswirkung: Das hsm2m.medium erfüllt die neuesten FIPS 140-3 Level 3-Anforderungen. Die Anmeldung bei hsm2m.medium folgt erhöhten Sicherheits- und Compliance-Anforderungen, was zu einer erhöhten Latenz führt.

  • Problemumgehung: Serialisieren Sie Anmeldeanfragen nach Möglichkeit in derselben Anwendung, um eine längere Latenz bei der Anmeldung zu vermeiden. Mehrere Anmeldeanfragen parallel führen zu einer erhöhten Latenz.

Problem: Ein CO, der versucht, das vertrauenswürdige Attribut eines Schlüssels festzulegen, schlägt mit Client SDK 5.12.0 und früher fehl

  • Auswirkung: Jeder CO-Benutzer, der versucht, das vertrauenswürdige Attribut eines Schlüssels festzulegen, erhält eine entsprechende Fehlermeldung. User type should be CO or CU

  • Lösung: Künftige Versionen des Client-SDK werden dieses Problem beheben. Updates werden in unseren Benutzerhandbüchern angekündigtDokumentverlauf.

Problem: Die ECDSA-Überprüfung schlägt mit Client SDK 5.12.0 und früher für Cluster im FIPS-Modus fehl

  • Auswirkung: Die ECDSA-Überprüfung, die im FIPS-Modus ausgeführt wird, schlägt fehl. HSMs

  • Lösungsstatus: Dieses Problem wurde in der Version 5.13.0 des Client-SDK behoben. Sie müssen auf diese Client-Version oder eine neuere Version aktualisieren, um von dem Fix zu profitieren.

Problem: Nur Zertifikate im PEM-Format können mit der CloudHSM-CLI als MTLS-Vertrauensanker registriert werden

  • Auswirkung: Zertifikate im DER-Format können nicht als mTLS-Vertrauensanker mit der CloudHSM-CLI registriert werden.

  • Umgehung: Sie können ein Zertifikat im DER-Format mit dem Befehl openssl in das PEM-Format konvertieren: openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem

Problem: Kundenanwendungen beenden die Verarbeitung aller Anfragen, wenn mTLS mit einem durch Passphrase geschützten privaten Client-Schlüssel verwendet wird.

  • Auswirkung: Alle von der Anwendung ausgeführten Operationen werden angehalten und der Benutzer wird während der gesamten Lebensdauer der Anwendung mehrmals zur Eingabe der Passphrase auf der Standardeingabe aufgefordert. Bei Vorgängen kommt es zu einem Timeout und sie schlagen fehl, wenn die Passphrase nicht vor Ablauf der Zeitüberschreitungsdauer des Vorgangs angegeben wird.

  • Problemumgehung: Mit Passphrase verschlüsselte private Schlüssel werden für mTLs nicht unterstützt. Entfernen Sie die Passphrase-Verschlüsselung aus dem privaten Schlüssel des Clients

Problem: Die Benutzerreplikation schlägt fehl, wenn die CloudHSM-CLI verwendet wird

  • Auswirkung: Die Benutzerreplikation schlägt auf hsm2m.medium-Instances fehl, wenn die CloudHSM-CLI verwendet wird. Der user replicate Befehl funktioniert auf hsm1.medium-Instances erwartungsgemäß.

  • Lösung: Wir arbeiten daran, dieses Problem zu lösen. Updates finden Sie Dokumentverlauf im Benutzerhandbuch.

Problem: Während der Backup-Erstellung können Operationen fehlschlagen

  • Auswirkung: Vorgänge wie das Generieren von Zufallszahlen können auf hsm2m.medium-Instances fehlschlagen, während AWS CloudHSM ein Backup erstellt.

  • Lösung: Implementieren Sie die folgenden bewährten Methoden, um Serviceunterbrechungen zu minimieren:

    • Erstellen Sie einen Multi-HSM-Cluster

    • Konfigurieren Sie Ihre Anwendungen so, dass Clustervorgänge wiederholt werden

    Weitere Informationen zu bewährten Methoden, finden Sie unter Bewährte Methoden für AWS CloudHSM.

Problem: Das Client-SDK 5.8 und höher führen in einigen Szenarien auf hsm2m.medium keine automatischen Wiederholungsversuche für HSM-gedrosselte Operationen durch

  • Auswirkung: Beim Client-SDK 5.8 und höher werden einige HSM-gedrosselte Operationen nicht wiederholt

  • Problemumgehung: Folgen Sie den bewährten Methoden, um Ihren Cluster so zu gestalten, dass er die Last bewältigt und Wiederholungsversuche auf Anwendungsebene implementiert. Wir arbeiten derzeit an einer Lösung. Updates werden in unseren Benutzerhandbüchern angekündigtDokumentverlauf.