SDK Version: 2.03
Available Ciphers:
AES_128
AES_256
3DES
RSA (non-CRT. modulus size can be 2048/3072)
RSA_CRT (same as RSA)
For RSA, Exponent will be 65537
Current FIPS mode is: 00000002
Enter the number of thread [1-10]: 1
Enter the cipher: AES_256
Enter the data size [1-16200]: 8192
Enter time duration in Secs: 60
Starting non-blocking speed test using data length of 8192 bytes...
```
```
c:\Program Files\Amazon\CloudHSM>pkpspeed_blocking.exe -s CU user name -p password
login as USER
Initializing Cfm2 library
SDK Version: 2.03
Current FIPS mode is: 00000002
Please enter the number of threads [MAX=400] : 1
Please enter the time in seconds to run the test [MAX=600]: 20
Please select the test you want to run
RSA non-CRT------------------->A
RSA CRT----------------------->B
Basic 3DES CBC---------------->C
Basic AES--------------------->D
FIPS Random------------------->H
Random------------------------>I
AES GCM ---------------------->K
eXit------------------------>X
D
Running 1 threads for 20 sec
Enter the key size(128/192/256):256
Enter the size of the packet in bytes[1-16200]:8192
OPERATIONS/second 9/1
OPERATIONS/second 10/1
OPERATIONS/second 11/1
OPERATIONS/second 10/1
OPERATIONS/second 10/1
OPERATIONS/second 10/...
```
# AWS CloudHSM Der Client SDK 5-Benutzer enthält inkonsistente Werte
Der `user list` Befehl in AWS CloudHSM Client SDK 5 gibt eine Liste aller Benutzer und Benutzereigenschaften in Ihrem Cluster zurück. Wenn eine der Eigenschaften eines Benutzers den Wert „**inconsistent**“ hat, wird dieser Benutzer nicht in Ihrem gesamten Cluster synchronisiert. Das bedeutet, dass der Benutzer mit unterschiedlichen Eigenschaften auf verschiedenen HSMs Clustern existiert. Je nachdem, welche Eigenschaft inkonsistent ist, können unterschiedliche Reparaturschritte unternommen werden.
Die folgende Tabelle enthält Schritte zum Beheben von Inkonsistenzen für einen einzelnen Benutzer. Wenn ein einzelner Benutzer mehrere Inkonsistenzen aufweist, lösen Sie diese, indem Sie die folgenden Schritte von oben nach unten ausführen. Wenn mehrere Benutzer Inkonsistenzen aufweisen, arbeiten Sie diese Liste für jeden Benutzer durch und beheben Sie die Inkonsistenzen für diesen Benutzer vollständig, bevor Sie mit dem nächsten fortfahren.
**Anmerkung**
Um diese Schritte durchzuführen, sollten Sie idealerweise als Administrator angemeldet sein. Wenn Ihr Administratorkonto nicht konsistent ist, gehen Sie wie folgt vor, melden Sie sich beim Administrator an und wiederholen Sie die Schritte, bis alle Eigenschaften konsistent sind. Sobald Ihr Administratorkonto konsistent ist, können Sie diesen Administrator verwenden, um andere Benutzer im Cluster zu synchronisieren.
| Inkonsistentes Merkmal | Beispielausgabe einer Benutzerliste | Auswirkung | Wiederherstellungsmethode |
| --- | --- | --- | --- |
| Die „Rolle“ des Benutzers ist „inkonsistent“ | {
"username":
"test_user",
"role": "inconsistent",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
} | Dieser Benutzer ist CryptoUser bei einigen ein HSMs und bei anderen ein Admin HSMs. Dies kann passieren, wenn zwei Personen gleichzeitig SDKs versuchen, denselben Benutzer mit unterschiedlichen Rollen zu erstellen. Sie müssen diesen Benutzer entfernen und ihn mit der gewünschten Rolle neu erstellen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/troubleshoot-sdk5-inconsistent-value.html) |
| Der Benutzer „Cluster-Abdeckung“ ist „inkonsistent“ | {
"username": "test_user",
"role": "crypto-user",
"locked": "false",
"mfa": [],
"cluster-coverage": "inconsistent"
} | Dieser Benutzer ist in einer Teilmenge von HSMs im Cluster vorhanden. Dies kann passieren, wenn ein Vorgang **user create** teilweise erfolgreich war, oder wenn ein Benutzer teilweise erfolgreich war. **user delete** Sie müssen Ihren vorherigen Vorgang beenden, indem Sie diesen Benutzer entweder erstellen oder aus Ihrem Cluster entfernen. | Wenn der Benutzer nicht existieren sollte, gehen Sie wie folgt vor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/troubleshoot-sdk5-inconsistent-value.html) Wenn der Benutzer existieren sollte, gehen Sie wie folgt vor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/troubleshoot-sdk5-inconsistent-value.html) |
| Der Parameter „Gesperrt“ des Benutzers ist „inkonsistent“ oder „wahr“ | {
"username":
"test_user",
"role": "crypto-user",
"locked": inconsistent,
"mfa": [],
"cluster-coverage": "full"
} | Dieser Benutzer ist für eine Teilmenge von gesperrt. HSMs Dies kann passieren, wenn ein Benutzer das falsche Passwort verwendet und sich nur mit einer Teilmenge von HSMs im Cluster verbindet. Sie müssen die Anmeldeinformationen des Benutzers ändern, damit sie im gesamten Cluster einheitlich sind. | Wenn der Benutzer MFA aktiviert hat, gehen Sie wie folgt vor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/troubleshoot-sdk5-inconsistent-value.html) Wenn MFA für den Benutzer aktiv sein soll, befolgen Sie diese Schritte: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/troubleshoot-sdk5-inconsistent-value.html) |
| Der MFA-Status ist „inkonsistent“ | {
"username": "test_user",
"role": "crypto-user",
"locked": "false",
"mfa": [
{
"strategy": "token-sign",
"status": "inconsistent"
}
],
"cluster-coverage": "full"
} | Dieser Benutzer hat unterschiedliche MFA-Flags auf HSMs verschiedenen Clustern. Dies kann passieren, wenn ein MFA-Vorgang nur für eine Teilmenge von abgeschlossen wurde. HSMs Sie müssen das Passwort des Benutzers zurücksetzen und ihm erlauben, MFA erneut zu aktivieren. | Wenn der Benutzer MFA aktiviert hat, gehen Sie wie folgt vor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/troubleshoot-sdk5-inconsistent-value.html) Wenn MFA für den Benutzer aktiv sein soll, befolgen Sie diese Schritte: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/troubleshoot-sdk5-inconsistent-value.html) |
# AWS CloudHSM Fehler bei der Replikation von Client-SDK für 5 Benutzer
Der `user replicate` Befehl in der CloudHSM-CLI repliziert einen Benutzer zwischen AWS geklonten CloudHSM-Clustern. In diesem Handbuch werden Fehler behandelt, die auf Benutzerinkonsistenzen innerhalb des Quell-Clusters oder zwischen Quell- und Zielclustern zurückzuführen sind. Das Benutzerreplikat überprüft anhand der folgenden Attribute, ob Benutzer konsistent sind:
+ Rolle des Benutzers
+ Status der Kontosperre
+ Quorum-Status
+ Status der Multi-Factor Authentication (MFA)
## Problem: Der ausgewählte Benutzer ist nicht im gesamten Cluster synchronisiert
Der Benutzerreplikationsprozess überprüft die Benutzersynchronisierung im gesamten Quellcluster. Wenn das Attribut eines Benutzers den Wert „inconsistent“ hat, bedeutet dies, dass der Benutzer nicht im gesamten Cluster synchronisiert ist. Die Benutzerreplikation schlägt mit der folgenden Fehlermeldung fehl:
```
{
"error_code": 1,
"data": "Specified user is inconsistent across the cluster"
}
```
So überprüfen Sie die Desynchronisierung der Benutzer im Quellcluster:
+ Führen Sie den `user list` Befehl in der CloudHSM-CLI aus.
```
aws-cloudhsm > user list
{
"error_code": 0,
"data": {
"users": [
{
"username": "admin",
"role": "admin",
"locked": "false",
"mfa": [],
"quorum": [],
"cluster-coverage": "full"
},
{
"username": "example-inconsistent-user",
"role": "admin",
"locked": "false",
"mfa": [],
"quorum": [],
"cluster-coverage": "inconsistent"
},
{
"username": "app_user",
"role": "internal(APPLIANCE_USER)",
"locked": "false",
"mfa": [],
"quorum": [],
"cluster-coverage": "full"
}
]
}
}
```
**Lösung: Synchronisieren Sie Benutzerattribute im gesamten Quellcluster**
+ Informationen zum Synchronisieren von Benutzerinformationen im gesamten Quellcluster finden Sie in den folgenden Abschnitten:[AWS CloudHSM Der Client SDK 5-Benutzer enthält inkonsistente Werte](troubleshoot-sdk5-inconsistent-value.md).
## Problem: Auf dem Zielcluster ist ein Benutzer mit unterschiedlichen Attributen vorhanden
Wenn ein Benutzer mit derselben Referenz bereits in einem oder mehreren HSMs im Zielcluster vorhanden ist, aber unterschiedliche Benutzerattribute hat, kann der folgende Fehler auftreten:
```
{
"error_code": 1,
"data": "User replicate failed on 1 of 3 connections"
}
```
**Auflösung**
1. Ermitteln Sie, welche Version des Benutzers beibehalten werden soll.
1. Löschen Sie den unerwünschten Benutzer im entsprechenden Cluster, indem Sie den `user delete` Befehl ausführen. Weitere Informationen finden Sie unter [Löschen Sie einen AWS CloudHSM Benutzer mit CloudHSM CLI](cloudhsm_cli-user-delete.md).
1. Replizieren Sie den Benutzer, indem Sie den `user replicate` Befehl ausführen.
## Problem: Die Benutzerreplikation von hsm2m.medium nach hsm1.medium schlägt fehl
Die Benutzerreplikation von hsm2m.medium auf hsm1.medium wird nicht unterstützt. Wenn Sie einen Benutzer von einem hsm2m.medium-Quellcluster auf einen hsm1.medium-Zielcluster replizieren, tritt der folgende Fehler auf:
```
{
"error_code": 1,
"data": "User replicate failed on 1 of 1 connections"
}
```
**Auflösung**
+ Verwenden Sie die [Benutzerverwaltung](manage-hsm-users-chsm-cli.md) mit CloudHSM CLI, um die fehlenden Benutzer manuell neu zu erstellen.
# AWS CloudHSM Fehler bei der Schlüsselreplikation des Client-SDK 5
Der `key replicate` Befehl in der CloudHSM-CLI repliziert einen Schlüssel von einem AWS CloudHSM Quellcluster zu einem Zielcluster. AWS CloudHSM In diesem Handbuch werden Fehler behandelt, die durch Inkonsistenzen innerhalb des Quell-Clusters oder zwischen dem Quell- und dem Ziel-Cluster verursacht werden.
## Problem: Der ausgewählte Schlüssel ist nicht im gesamten Cluster synchronisiert
Der Schlüsselreplikationsprozess überprüft die Schlüsselsynchronisierung im gesamten Quellcluster. Wenn Schlüsselinformationen oder Attribute den Wert „inkonsistent“ haben, bedeutet dies, dass der Schlüssel nicht im gesamten Cluster synchronisiert ist. Die Schlüsselreplikation schlägt mit der folgenden Fehlermeldung fehl:
```
{
"error_code": 1,
"data": "The selected key is not synchronized throughout the cluster"
}
```
So überprüfen Sie, ob die Schlüssel im Quellcluster desynchronisiert wurden:
1. Führen Sie den `key list` Befehl in der CloudHSM-CLI aus.
1. Verwenden Sie das `--filter ` Flag, um den Schlüssel anzugeben.
1. Fügen Sie das `--verbose` Kennzeichen hinzu, um die vollständige Ausgabe mit wichtigen Informationen zur Abdeckung zu sehen.
```
aws-cloudhsm > key list --filter attr.label=example-desynchronized-key-label --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x000000000048000f",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"key-quorum-values": {
"manage-key-quorum-value": 0,
"use-key-quorum-value": 0
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "example-desynchronized-key-label",
"id": "0x",
"check-value": "0xbe79db",
"class": "secret-key",
"encrypt": false,
"decrypt": false,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": "inconsistent",
"trusted": false,
"unwrap": false,
"verify": true,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 16
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
**Lösung: Synchronisieren Sie wichtige Informationen und Attribute im gesamten Quellcluster**
So synchronisieren Sie Schlüsselinformationen und Attribute im gesamten Quellcluster:
1. Bei inkonsistenten Schlüsselattributen: Verwenden Sie den `key set-attribute` Befehl, um das gewünschte Attribut für den spezifischen Schlüssel festzulegen.
1. Bei inkonsistenter Abdeckung gemeinsam genutzter Benutzer: Passen Sie mit den `key unshare` Befehlen `key share` oder die Tastenbelegung mit den gewünschten Benutzern an.
## Problem: Ein Schlüssel mit derselben Referenz ist im Zielcluster mit unterschiedlichen Informationen oder Attributen vorhanden
Wenn ein Schlüssel mit derselben Referenz im Zielcluster vorhanden ist, aber unterschiedliche Informationen oder Attribute hat, kann der folgende Fehler auftreten:
```
{
"error_code": 1,
"data": "Key replicate failed on 1 of 3 connections"
}
```
**Auflösung**
1. Ermitteln Sie, welche Version des Schlüssels beibehalten werden soll.
1. Löschen Sie die unerwünschte Schlüsselversion mithilfe des `key delete` Befehls im entsprechenden Cluster.
1. Replizieren Sie den Schlüssel aus dem Cluster mit der richtigen Version.
# AWS CloudHSM Bei der Überprüfung der Schlüsselverfügbarkeit ist ein Fehler aufgetreten
**Problem**: Ein AWS CloudHSM Hardware-Sicherheitsmodul (HSM) gibt den folgenden Fehler zurück:
```
Key does not meet the availability requirements - The key must be available on at least 2 HSMs before being used.
```
**Ursache**: Bei der Überprüfung der Verfügbarkeit von Schlüsseln wird nach Schlüsseln gesucht, die in seltenen, aber möglichen Fällen verloren gehen könnten. Dieser Fehler tritt normalerweise in Clustern mit nur einem HSM oder in Clustern mit zwei HSM HSMs während eines Zeitraums auf, in dem eines von ihnen ersetzt wird. In diesen Situationen haben die folgenden Kundenvorgänge wahrscheinlich zu dem oben genannten Fehler geführt:
+ Ein neuer Schlüssel wurde mit einem Befehl wie **[Die Kategorie „Symmetrisch generieren“ in CloudHSM CLI](cloudhsm_cli-key-generate-symmetric.md)** oder **[Die generate-asymmetric-pair Kategorie in CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md)** generiert.
+ Eine **[Schlüssel für einen Benutzer mit CloudHSM CLI auflisten](cloudhsm_cli-key-list.md)**-Operation wurde gestartet.
+ Eine neue Instanz des SDK wurde gestartet.
**Anmerkung**
OpenSSL forkt häufig neue Instanzen des SDK.
**Lösung/Empfehlung**: Wählen Sie aus den folgenden Aktionen, um das Auftreten dieses Fehlers zu verhindern:
+ Verwenden Sie den **--disable-key-availability-check**-Parameter, um die Schlüsselverfügbarkeit in der Konfigurationsdatei Ihres [Configure Tools](configure-tool.md) auf „false“ zu setzen. Weitere Informationen finden Sie im Abschnitt [AWS CloudHSM Konfigurationsparameter für das Client-SDK 5](configure-tool-params5.md) des Configure Tools.
+ Wenn Sie einen Cluster mit zwei verwenden HSMs, vermeiden Sie es, die Operationen zu verwenden, die zu dem Fehler geführt haben, außer während des Initialisierungscodes.
+ Erhöhen Sie die Anzahl von HSMs in Ihrem Cluster auf mindestens drei.
# AWS CloudHSM Extrahieren von Schlüsseln mit JCE
Verwenden Sie die folgenden Abschnitte, um Probleme beim Extrahieren von AWS CloudHSM Schlüsseln mit JCE zu beheben.
## getEncoded oder getPrivateExponent GetS gibt null zurück
`getEncoded`, `getPrivateExponent` und `getS` geben Null zurück, da sie standardmäßig deaktiviert sind. Informationen zum Aktivieren finden Sie unter [Schlüsselextraktion mit JCE für AWS CloudHSM](java-lib-configs-getencoded.md).
Wenn `getEncoded`, `getPrivateExponent` und `getS` nach der Aktivierung Null zurückgeben, erfüllt Ihr Schlüssel nicht die richtigen Voraussetzungen. Weitere Informationen finden Sie unter [Schlüsselextraktion mit JCE für AWS CloudHSM](java-lib-configs-getencoded.md).
## getEncoded oder getS geben Schlüsselbytes außerhalb des HSM zurück getPrivateExponent
Sie oder jemand mit Zugriff auf Ihr System haben die Extraktion von klaren Schlüsseln aktiviert. Auf den folgenden Seiten finden Sie weitere Informationen, unter anderem, wie Sie diese Konfiguration auf den deaktivierten Standardstatus zurücksetzen können.
+ [Schlüsselextraktion mit JCE für AWS CloudHSM](java-lib-configs-getencoded.md)
+ [Schlüssel aus einem HSM schützen und extrahieren](bp-hsm-key-management.md#best-practices-key-protection)
# HSM-Drosselung
Wenn Ihre Arbeitslast die Kapazität des Hardware-Sicherheitsmoduls (HSM) Ihres AWS CloudHSM Clusters überschreitet, erhalten Sie Fehlermeldungen, die besagen, dass sie ausgelastet oder gedrosselt HSMs sind. In diesem Fall kann es zu einem verringerten Durchsatz oder einer erhöhten Anzahl von Ablehnungsanfragen von kommen. HSMs Darüber hinaus werden HSMs möglicherweise die folgenden Auslastungsfehler gesendet.
## Für Client-SDK 5
+ In PKCS11, ausgelastete Fehler werden zugeordnet auf`CKR_FUNCTION_FAILED`. Dieser Fehler kann aus mehreren Gründen auftreten. Wenn dieser Fehler jedoch durch HSM-Drosselung verursacht wird, werden die folgenden Protokollzeilen in Ihrem Protokoll angezeigt:
+ `[cloudhsm_provider::hsm1::hsm_connection::e2e_encryption::error] Failed to prepare E2E response. Error: Received error response code from Server. Response Code: 187`
+ `[cloudhsm_pkcs11::decryption::aes_gcm] Received error from the server. Error: This operation is already in progress. Internal error code: 0x000000BB`
+ In JCE werden Busy-Fehler `com.amazonaws.cloudhsm.jce.jni.exception.InternalException: Unexpected error with the Provider: The HSM could not queue the request for processing.` zugeordnet.
+ Bei SDKs anderen Auslastungsfehlern wird die folgende Meldung ausgegeben:`Received error response code from Server. Response Code: 187`.
## Für Client-SDK 3
+ Bei „ PKCS11Ausgelastet“ werden `CKR_OPERATION_ACTIVE` Fehler zugeordnet.
+ In JCE werden Busy-Fehler `CFM2Exception` mit dem Status `0xBB (187)` zugeordnet. Anwendungen können die `getStatus()`-Funktion auf `CFM2Exception` verwenden, um zu überprüfen, welcher Status vom HSM zurückgegeben wird.
+ Bei anderen SDKs Auslastungsfehlern wird die folgende Meldung ausgedruckt: `HSM Error: HSM is already busy generating the keys(or random bytes) for another request.`
## Auflösung
Sie können diese Probleme beheben, indem Sie mindestens eine der folgenden Maßnahmen ergreifen:
+ Fügen Sie Wiederholungsbefehle für abgelehnte HSM-Operationen in Ihrer Anwendungsebene hinzu. Stellen Sie vor der Aktivierung von Wiederholungsbefehlen sicher, dass Ihr Cluster ausreichend dimensioniert ist, um Spitzenlasten zu bewältigen.
**Anmerkung**
Für Client-SDK 5.8.0 und höher sind Wiederholungsbefehle standardmäßig aktiviert. Einzelheiten zur Konfiguration der Wiederholungsbefehle der einzelnen SDKs finden Sie unter [Erweiterte Konfigurationen für das Client-SDK-5-Configure-Tool](configure-sdk5-advanced-configs.md).
+ Fügen Sie Ihrem Cluster weitere HSMs hinzu, indem Sie den Anweisungen unter folgen[Skalierung HSMs in einem AWS CloudHSM Cluster](add-remove-hsm.md).
**Wichtig**
Wir empfehlen, Ihren Cluster einem Belastungstest zu unterziehen, um die zu erwartende Spitzenlast zu ermitteln, und dann ein weiteres HSM hinzuzufügen, um eine hohe Verfügbarkeit zu gewährleisten.
# Halten Sie HSM-Benutzer HSMs im gesamten Cluster synchron AWS CloudHSM
Um die [Benutzer Ihres HSM zu verwalten, verwenden Sie ein Befehlszeilentool namens cloudhsm\$1mgmt\$1util](manage-hsm-users.md). AWS CloudHSM Es kommuniziert nur mit denen, die in der Konfigurationsdatei des Tools enthalten sind. HSMs Andere HSMs im Cluster, die nicht in der Konfigurationsdatei enthalten sind, werden nicht erkannt.
AWS CloudHSM synchronisiert die Schlüssel auf Ihrem Computer mit HSMs allen anderen Schlüsseln HSMs im Cluster, synchronisiert jedoch nicht die Benutzer oder Richtlinien des HSM. Wenn Sie cloudhsm\$1mgmt\$1util zur [Verwaltung von HSM-Benutzern](manage-hsm-users.md) verwenden, wirken sich diese Benutzeränderungen möglicherweise nur auf einige der Cluster aus, d. h. auf diejenigen, die sich in der Konfigurationsdatei cloudhsm\$1mgmt\$1util befinden. HSMs Dies kann zu Problemen führen, wenn Schlüssel innerhalb des Clusters AWS CloudHSM synchronisiert werden, da die Benutzer, denen die Schlüssel gehören, möglicherweise nicht auf allen HSMs im Cluster vorhanden sind. HSMs
Um diese Probleme zu vermeiden, bearbeiten Sie die cloudhsm\$1mgmt\$1util-Konfigurationsdatei, *bevor* Sie Benutzer verwalten. Weitere Informationen finden Sie unter [Voraussetzungen für die Benutzerverwaltung in Management Utility AWS CloudHSM](understand-users.md).
# Verbindung zum AWS CloudHSM Cluster verloren
Bei [der Konfiguration des AWS CloudHSM Clients](cmu-install-and-configure-client-linux.md#cmu-edit-client-configuration) haben Sie die IP-Adresse des ersten HSM in Ihrem Cluster angegeben. Diese IP-Adresse wird in der Konfigurationsdatei für den AWS CloudHSM Client gespeichert. Wenn der Client gestartet wird, wird versucht, eine Verbindung zu dieser IP-Adresse einzurichten. Wenn das nicht möglich ist – weil beispielsweise der HSM fehlgeschlagen ist oder Sie ihn gelöscht haben – wird möglicherweise eine der folgenden Fehlermeldungen angezeigt:
```
LIQUIDSECURITY: Daemon socket connection error
```
```
LIQUIDSECURITY: Invalid Operation
```
Um diese Fehler zu beheben, aktualisieren Sie die Konfigurationsdatei mit der IP-Adresse eines aktiven, verfügbaren HSM im Cluster.
**Um die Konfigurationsdatei für den AWS CloudHSM Client zu aktualisieren**
1. Verwenden Sie eine der folgenden Methoden, um die IP-Adresse eines aktiven HSM in Ihrem Cluster zu ermitteln.
+ Sehen Sie sich die **HSMs**Registerkarte auf der Seite mit den Cluster-Details in der [AWS CloudHSM Konsole](https://console.aws.amazon.com/cloudhsm/home) an.
+ Verwenden Sie AWS Command Line Interface (AWS CLI), um den [https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)Befehl auszuführen.
Sie benötigen diese IP-Adresse in einem späteren Schritt.
1. Verwenden Sie den folgenden Befehl, um den Client zu beenden.
------
#### [ Amazon Linux ]
```
$ sudo stop cloudhsm-client
```
------
#### [ Amazon Linux 2 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ CentOS 7 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ CentOS 8 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ RHEL 7 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ RHEL 8 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ Ubuntu 16.04 LTS ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ Ubuntu 18.04 LTS ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ Windows ]
+ Für Windows-Client 1.1.2 und höher:
```
C:\Program Files\Amazon\CloudHSM>net.exe stop AWSCloudHSMClient
```
+ Für Windows-Clients 1.1.1 und früher:
Verwenden Sie **Strg** \$1 **C** in dem Befehlsfenster, in dem Sie den AWS CloudHSM Client gestartet haben.
------
1. Verwenden Sie den folgenden Befehl ein, um die Konfigurationsdatei des Clients zu aktualisieren, und geben Sie dazu die IP-Adresse an, die Sie in einem vorherigen Schritt erhalten haben.
```
$ sudo /opt/cloudhsm/bin/configure -a
```
1. Verwenden Sie den folgenden Befehl, um den -Client zu starten.
------
#### [ Amazon Linux ]
```
$ sudo start cloudhsm-client
```
------
#### [ Amazon Linux 2 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ CentOS 7 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ CentOS 8 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ RHEL 7 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ RHEL 8 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Ubuntu 16.04 LTS ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Ubuntu 18.04 LTS ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Windows ]
+ Für Windows-Client 1.1.2 und höher:
```
C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient
```
+ Für Windows-Clients 1.1.1 und früher:
```
C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg
```
------
# Fehlende AWS CloudHSM Audit-Logs CloudWatch
Wenn Sie vor dem 20. Januar 2018 einen AWS CloudHSM Cluster erstellt haben, müssen Sie eine [dienstverknüpfte Rolle](service-linked-roles.md) manuell konfigurieren, um die Übermittlung der Audit-Logs dieses Clusters zu ermöglichen. Anweisungen zum Aktivieren einer serviceverknüpften Rolle in einem HSM-Cluster finden Sie unter [Grundlegendes zu serviceverknüpften Rollen](service-linked-roles.md) und unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im IAM-Benutzerleitfaden.
# Benutzerdefiniert IVs mit nicht konformer Länge für AES-Schlüsselumbruch AWS CloudHSM
Mithilfe dieses Themas zur Problembehandlung können Sie feststellen, ob Ihre Anwendung unwiederbringliche verpackte Schlüssel generiert. Wenn Sie von diesem Problem betroffen sind, verwenden Sie dieses Thema, um das Problem zu lösen.
**Topics**
+ [Stellen Sie fest, ob Ihr Code unwiederbringliche verpackte Schlüssel generiert](#troubleshooting-problem1)
+ [Maßnahmen, die Sie ergreifen müssen, wenn Ihr Code unwiederbringliche verpackte Schlüssel generiert](#troubleshooting-problem2)
## Stellen Sie fest, ob Ihr Code unwiederbringliche verpackte Schlüssel generiert
Sie sind nur betroffen, wenn Sie *alle* folgenden Bedingungen erfüllen:
****
| Bedingung | Woher soll ich das wissen? |
| --- | --- |
| Ihre Anwendung verwendet die PKCS \$111-Bibliothek | Die PKCS \$111-Bibliothek wird als `libpkcs11.so`-Datei in Ihrem `/opt/cloudhsm/lib`-Ordner installiert. In der Sprache C geschriebene Anwendungen verwenden im Allgemeinen direkt die PKCS \$111-Bibliothek, während in Java geschriebene Anwendungen die Bibliothek möglicherweise indirekt über eine Java-Abstraktionsschicht verwenden. Wenn Sie Windows verwenden, sind Sie davon NICHT betroffen, da die PKCS \$111-Bibliothek derzeit nicht für Windows verfügbar ist. |
| Ihre Anwendung verwendet speziell Version 3.0.0 der PKCS \$111-Bibliothek | Wenn Sie eine E-Mail vom AWS CloudHSM Team erhalten haben, verwenden Sie wahrscheinlich Version 3.0.0 der PKCS \$111 -Bibliothek. Verwenden Sie diesen Befehl, um die Softwareversion auf Ihren Anwendungs-Instances zu überprüfen: rpm -qa | grep ^cloudhsm
|
| Schlüssel werden mithilfe von AES-Schlüsselumbruch umgebrochen | AES-Schlüsselumbruch bedeutet, dass Sie einen AES-Schlüssel verwenden, um einen anderen Schlüssel zu umschließen. Der Name des entsprechenden Mechanismus lautet `CKM_AES_KEY_WRAP`. Er wird zusammen mit der Funktion `C_WrapKey` verwendet. Andere AES-basierte Wrapping-Mechanismen, die Initialisierungsvektoren (IVs) verwenden, wie z. B. `CKM_AES_GCM` und` CKM_CLOUDHSM_AES_GCM`, sind von diesem Problem nicht betroffen. [Erfahren Sie mehr über Funktionen und Mechanismen](pkcs11-mechanisms.md). |
| Sie geben eine benutzerdefinierte IV an, wenn Sie AES Key Wrapping aufrufen, und die Länge dieser IV ist kürzer als 8 | Der AES-Schlüsselumbruch wird im Allgemeinen mit einer `CK_MECHANISM` Struktur wie folgt initialisiert: `CK_MECHANISM mech = {CKM_AES_KEY_WRAP, IV_POINTER, IV_LENGTH};` Dieses Problem trifft auf Sie nur in folgenden Fällen zu: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/troubleshooting-aes-keys.html) |
Wenn Sie nicht alle oben genannten Bedingungen erfüllen, können Sie jetzt mit dem Lesen aufhören. Ihre verpackten Schlüssel können ordnungsgemäß ausgepackt werden, und dieses Problem hat keine Auswirkungen auf Sie. Andernfalls lesen Sie unter [Maßnahmen, die Sie ergreifen müssen, wenn Ihr Code unwiederbringliche verpackte Schlüssel generiert](#troubleshooting-problem2) weiter.
## Maßnahmen, die Sie ergreifen müssen, wenn Ihr Code unwiederbringliche verpackte Schlüssel generiert
Sie sollten die folgenden drei Schritte ausführen:
1. **Aktualisieren Sie Ihre PKCS \$111-Bibliothek sofort auf eine neuere Version**
+ [Aktuelle PKCS \$111-Bibliothek für Amazon Linux, CentOS 6 und RHEL 6](client-upgrade.md)
+ [Aktuelle PKCS \$111-Bibliothek für Amazon Linux 2, CentOS 7 und RHEL 7](client-upgrade.md)
+ [Aktuelle PKCS \$111-Bibliothek für Ubuntu 16.04 LTS](client-upgrade.md)
1. **Aktualisieren Sie Ihre Software, um eine standardkonforme IV zu verwenden**
Wir empfehlen Ihnen dringend, unserem Beispielcode zu folgen und einfach eine NULL IV anzugeben, sodass das HSM die standardkonforme Standard-IV verwendet. Alternativ können Sie die IV explizit als `0xA6A6A6A6A6A6A6A6` mit einer entsprechenden IV-Länge von `8` angeben. Es wird nicht empfohlen, andere IV für das Umschließen von AES-Schlüsseln zu verwenden, und wir werden in einer future Version der PKCS \$111 -Bibliothek das benutzerdefinierte IVs Umschließen von AES-Schlüsseln ausdrücklich deaktivieren.
Der Beispielcode für die korrekte Angabe der IV befindet sich in [aes\$1wrapping.c](https://github.com/aws-samples/aws-cloudhsm-pkcs11-examples/blob/master/src/wrapping/aes_wrapping.c#L72) unter. GitHub
1. **Identifizieren Sie vorhandene verpackte Schlüssel und stellen Sie sie wieder her**
[Sie sollten alle Schlüssel identifizieren, die Sie mit Version 3.0.0 der PKCS \$111 -Bibliothek verpackt haben, und sich dann an den Support wenden, um Unterstützung (https://aws.amazon.com/support) bei der Wiederherstellung dieser Schlüssel zu erhalten.](https://aws.amazon.com/support)
**Wichtig**
Dieses Problem betrifft nur Schlüssel, die mit Version 3.0.0 der PKCS \$111-Bibliothek umschlossen wurden. Sie können Schlüssel mithilfe früherer Versionen (2.0.4 und Pakete mit niedrigeren Nummern) oder neueren Versionen (3.0.1 und Pakete mit höheren Nummern) der PKCS \$111-Bibliothek umbrechen.
# Behebung von Fehlern bei der AWS CloudHSM Clustererstellung
Wenn Sie einen Cluster erstellen, AWS CloudHSM wird die dienstverknüpfte AWSService RoleForCloud HSM-Rolle erstellt, sofern die Rolle noch nicht vorhanden ist. Wenn die dienstverknüpfte Rolle AWS CloudHSM nicht erstellt werden kann, schlägt Ihr Versuch, einen Cluster zu erstellen, möglicherweise fehl.
In diesem Thema wird erklärt, wie Sie die am häufigsten auftretenden Probleme lösen und so erfolgreich einen Cluster erstellen. Sie müssen diese Rolle nur einmal erstellen. Sobald die servicegebundene Rolle in Ihrem Konto erstellt wurde, können Sie mit jeder der unterstützten Methoden weitere Cluster erstellen und verwalten.
Die folgenden Abschnitte halten Ratschläge bereit, mit der Fehler bei der Cluster-Erstellung behoben werden können, falls diese im Zusammenhang mit der servicegebundenen Rolle stehen. Wenn Sie nach Ausführung dieser Ratschläge immer noch nicht in der Lage sind, Cluster zu erstellen, wenden Sie sich an den [Support](https://aws.amazon.com/contact-us/). Weitere Informationen zur dienstbezogenen AWSService RoleForCloud HSM-Rolle finden Sie unter. [Mit Diensten verknüpfte Rollen für AWS CloudHSM](service-linked-roles.md)
**Topics**
+ [Fügen Sie die fehlende Berechtigung hinzu](#missing-permission)
+ [Manuelles Erstellen der serviceverknüpften Rolle](#api-call-failure)
+ [Verwenden Sie einen Benutzer, der nicht an einen Verbund angeschlossen ist](#non-federated-user)
## Fügen Sie die fehlende Berechtigung hinzu
Um eine servicegebundene Rolle erstellen zu können, muss der Benutzer über die `iam:CreateServiceLinkedRole`-Berechtigung verfügen. Wenn der IAM-Benutzer, der den Cluster erstellt, nicht über diese Berechtigung verfügt, schlägt der Clustererstellungsprozess fehl, wenn versucht wird, die dienstverknüpfte Rolle in Ihrem Konto zu erstellen. AWS
Wenn eine fehlende Berechtigung den Fehler verursacht, enthält die Fehlermeldung den folgenden Text.
```
This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.
```
Um diesen Fehler zu beheben, geben Sie dem IAM-Benutzer, der den Cluster erstellt, die `AdministratorAccess`-Berechtigung oder fügen Sie der IAM-Richtlinie des Benutzers die `iam:CreateServiceLinkedRole`-Berechtigung hinzu. Weitere Anleitungen finden Sie unter [Hinzufügen von Berechtigungen zu einem neuen oder vorhandenen Benutzer (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#w2ab1c19c19c26b9).
Versuchen Sie anschließend erneut, [den Cluster zu erstellen](create-cluster.md).
## Manuelles Erstellen der serviceverknüpften Rolle
Sie können die IAM-Konsole, CLI oder API verwenden, um die dienstverknüpfte AWSService RoleForCloud HSM-Rolle zu erstellen. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpfte Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Leitfaden*.
## Verwenden Sie einen Benutzer, der nicht an einen Verbund angeschlossen ist
Verbundbenutzer, deren Anmeldeinformationen außerhalb von stammen AWS, können viele der Aufgaben eines Benutzers ohne Verbundzugriff ausführen. Mit AWS können Benutzer jedoch keine API-Aufrufe zum Erstellen einer servicegebundenen Rolle von einem verbundenen Endpunkt aus ausführen.
Um dieses Problem zu lösen, [erstellen Sie einen nicht verbundenen Benutzer](create-iam-user.md) mit der `iam:CreateServiceLinkedRole`-Berechtigung oder erteilen Sie einem vorhandenen nicht verbundenen Benutzer die `iam:CreateServiceLinkedRole`-Berechtigung. Lassen Sie den Benutzer anschließend in der AWS CLI[einen Cluster erstellen](create-cluster.md). Dadurch wird die servicegebundene Rolle in Ihrem Konto erstellt.
Sobald die serviceverknüpfte Rolle erstellt wurde, können Sie auf Wunsch den Cluster löschen, den der nicht verbundene Benutzer erstellt hat. Das Löschen des Clusters hat keine Auswirkungen auf die Rolle. Danach kann jeder Benutzer mit den erforderlichen Berechtigungen, einschließlich Verbundbenutzer, AWS CloudHSM Cluster in Ihrem Konto erstellen.
**Um zu überprüfen, ob die Rolle erstellt wurde, öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)und wählen Sie Rollen aus.** Oder verwenden Sie den [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)-Befehl in der AWS CLI.
```
$ aws iam get-role --role-name AWSServiceRoleForCloudHSM
{
"Role": {
"Description": "Role for CloudHSM service operations",
role policy statement
"RoleId": "AROAJ4I6WN5QVGG5G7CBY",
"CreateDate": "2017-12-19T20:53:12Z",
"RoleName": "AWSServiceRoleForCloudHSM",
"Path": "/aws-service-role/cloudhsm.amazonaws.com/",
"Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM"
}
}
```
# AWS CloudHSM Client-Konfigurationsprotokolle abrufen
AWS CloudHSM bietet Tools für Client SDK 3 und Client SDK 5, mit denen Sie Informationen über Ihre Umgebung sammeln können, damit der AWS Support Probleme beheben kann.
**Topics**
+ [AWS CloudHSM Support-Tool für das Client-SDK 5](support-tool-sdk5.md)
+ [AWS CloudHSM Tool zur Unterstützung von Client-SDK 3](support-tool-sdk3.md)
# AWS CloudHSM Support-Tool für das Client-SDK 5
Das Skript für AWS CloudHSM Client SDK 5 extrahiert die folgenden Informationen:
+ Die Konfigurationsdatei für die Client-SDK 5-Komponente
+ Verfügbare Protokolldateien
+ Aktuelle Version des Betriebssystems
+ Paketinformationen
## Das Info-Tool für Client-SDK 5 wird ausgeführt
Das Client-SDK 5 umfasst ein Client-Support-Tool für jede Komponente, aber alle Tools funktionieren gleich. Führen Sie das Tool aus, um eine Ausgabedatei mit allen erfassten Informationen zu erstellen.
Die Tools verwenden eine Syntax wie diese:
```
[ pkcs11 | dyn | jce | ksp | cli]_info
```
Um beispielsweise Informationen zur Unterstützung von einem Linux-Host zu sammeln, auf dem die PKCS \$111-Bibliothek läuft, und das System in das Standardverzeichnis schreiben zu lassen, würden Sie diesen Befehl ausführen:
```
/opt/cloudhsm/bin/pkcs11_info
```
Das Tool erstellt die Ausgabedatei innerhalb des `/tmp`-Verzeichnisses.
------
#### [ AWS CloudHSM CLI ]
**Um Supportdaten für AWS CloudHSM CLI unter Linux zu sammeln**
+ Verwenden Sie das Support-Tool, um Daten zu sammeln.
```
/opt/cloudhsm/bin/cli_info
```
**Um Supportdaten für Windows AWS CloudHSM zu sammeln**
+ Verwenden Sie das Support-Tool, um Daten zu sammeln.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cli_info.exe"
```
------
#### [ PKCS \$111 library ]
**Um Unterstützungsdaten für die PKCS \$111-Bibliothek unter Linux zu sammeln**
+ Verwenden Sie das Support-Tool, um Daten zu sammeln.
```
/opt/cloudhsm/bin/pkcs11_info
```
**Um Unterstützungsdaten für die PKCS \$111-Bibliothek unter Windows zu sammeln**
+ Verwenden Sie das Support-Tool, um Daten zu sammeln.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\pkcs11_info.exe"
```
------
#### [ OpenSSL Dynamic Engine ]
**Um Unterstützungsdaten für OpenSSL Dynamic Engine unter Linux zu sammeln**
+ Verwenden Sie das Support-Tool, um Daten zu sammeln.
```
/opt/cloudhsm/bin/dyn_info
```
------
#### [ JCE provider ]
**Um Supportdaten für den JCE-Anbieter unter Linux zu sammeln**
+ Verwenden Sie das Support-Tool, um Daten zu sammeln.
```
/opt/cloudhsm/bin/jce_info
```
**Um Supportdaten für den JCE-Anbieter unter Windows zu sammeln**
+ Verwenden Sie das Support-Tool, um Daten zu sammeln.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\jce_info.exe"
```
------
#### [ Key Storage Provider ]
**Um Supportdaten für Key Storage Provider unter Windows zu sammeln**
+ Verwenden Sie das Support-Tool, um Daten zu sammeln.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\ksp_info.exe"
```
------
## Abrufen von Protokollen aus einer Serverless-Umgebung
Für die Konfiguration für serverlose Umgebungen wie Fargate oder Lambda empfehlen wir Ihnen, Ihren AWS CloudHSM Protokolltyp auf zu konfigurieren. `term` Nach der Konfiguration auf `term` kann in der serverlosen Umgebung Daten ausgegeben werden. CloudWatch
Informationen zum Abrufen der Client-Logs finden Sie unter [Arbeiten mit Protokollgruppen und Protokollstreams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) im Amazon CloudWatch Logs-Benutzerhandbuch. CloudWatch
# AWS CloudHSM Tool zur Unterstützung von Client-SDK 3
Das Skript für das AWS CloudHSM Client SDK 3 extrahiert die folgenden Informationen:
+ Betriebssystem und seine aktuelle Version
+ Clientkonfigurationsinformationen aus `cloudhsm_client.cfg`-, `cloudhsm_mgmt_util.cfg`-, und `application.cfg`-Dateien
+ Clientprotokolle von dem für die Plattform spezifischen Speicherort
+ Cluster- und HSM-Informationen mithilfe von cloudhsm\$1mgmt\$1util
+ OpenSSL-Informationen
+ Aktuelle Client- und Build-Version
+ Installationsprogrammversion
## Das Info-Tool für Client-SDK 3 wird ausgeführt
Das Skript erstellt eine Ausgabedatei mit allen erfassten Informationen. Das Skript erstellt die Ausgabedatei innerhalb des `/tmp`-Verzeichnisses.
**Linux**: `/opt/cloudhsm/bin/client_info`
**Windows**: `C:\Program Files\Amazon\CloudHSM\client_info`
**Warnung**
Dieses Skript hat ein bekanntes Problem für die Client-SDK 3-Versionen 3.1.0 bis 3.3.1. Wir empfehlen dringend, auf Version 3.3.2 zu aktualisieren, die eine Lösung für dieses Problem enthält. Weitere Informationen finden Sie auf der Seite [Bekannte Probleme](https://docs.aws.amazon.com/cloudhsm/latest/userguide/ki-all.html#ki-all-9), die Sie lesen sollten, bevor Sie dieses Tool verwenden.