AWS CloudHSM sincronización de clústeres

En un AWS CloudHSM clúster, AWS CloudHSM mantiene sincronizadas las claves de los HSM individuales. No tiene que hacer nada para sincronizar las claves en los HSM. A diferencia de las claves, no existe un mecanismo del lado del servidor para sincronizar a los usuarios de los HSM en todo el clúster. La AWS CloudHSM CLI realiza al máximo la sincronización de las operaciones de los usuarios entre los HSM, pero pueden producirse inconsistencias si una operación falla parcialmente. Si los usuarios no están sincronizados, el user list comando mostrará incoherencias. Para obtener más información, consulte El usuario o la política del SDK 5 del cliente contienen valores incoherentes.

Al añadir un nuevo HSM a un clúster, AWS CloudHSM hace una copia de seguridad de todas las claves, usuarios y políticas de un HSM existente. A continuación, restaura ese backup en el nuevo HSM. De este modo, los dos HSM permanecen sincronizados.

Si las claves de los HSM de un clúster no están sincronizadas, las resincroniza AWS CloudHSM automáticamente. Para habilitarlo, AWS CloudHSM utiliza las credenciales del usuario del dispositivo. Este usuario existe en todos los HSM proporcionados por AWS CloudHSM y tiene permisos limitados. Puede obtener un hash de los objetos del HSM, así como insertar y extraer objetos enmascarados (cifrados). AWS no puede ver ni modificar los usuarios ni las claves y no puede realizar operaciones criptográficas utilizando estas claves.

Esta resincronización automática solo se aplica a las claves. Los usuarios y las políticas (como la configuración de mTLS) no se resincronizan automáticamente. La CLI de CloudHSM realiza al máximo la sincronización de las operaciones de usuario y políticas en todos los HSM, pero pueden producirse incoherencias y es posible que tenga que resolverlas manualmente. Para obtener más información, consulte El usuario o la política del SDK 5 del cliente contienen valores incoherentes.