Migración de hsm1.medium a hsm2m.medium - AWS CloudHSM
Descripción generalRequisitos previosModo de escritura limitada del clústerInicio de la migraciónReversión de la migraciónSincronización de datos después de una reversión

Migración de hsm1.medium a hsm2m.medium

Puede migrar el clúster de AWS CloudHSM de hsm1.medium a hsm2m.medium. En este tema, se describen los requisitos previos, el proceso de migración y los procedimientos de reversión.

Antes de iniciar la migración, asegúrese de que la aplicación siga las recomendaciones indicadas en Diseñe su clúster para conseguir una alta disponibilidad.. Esto ayuda a evitar tiempos de inactividad durante el proceso.

Descripción general del proceso de migración de hsm1.medium a hsm2m.medium

Puede iniciar la migración mediante la consola de AWS CloudHSM, la AWS CLI, o la API de AWS CloudHSM. Independientemente de dónde la inicie, la migración del clúster de AWS CloudHSM utiliza el punto de conexión de la API de modify-cluster. Una vez que comienza la migración, todo el clúster entra en modo de escritura limitada. Para obtener más información, consulte Modo de escritura limitada del clúster.

Para minimizar el impacto, AWS CloudHSM cambia los HSM de hsm1.medium a hsm2m.medium uno a la vez. Los HSM de reemplazo mantienen las mismas direcciones IP, por lo que no se requieren cambios de configuración durante ni después de la migración.

Así funciona la migración:

  1. Antes de migrar el primer HSM, AWS CloudHSM crea una copia de seguridad completa de todo el clúster.

  2. Con esta copia de seguridad, AWS CloudHSM crea un nuevo HSM del tipo solicitado (hsm2m.medium) para reemplazar el primer HSM.

  3. Antes de migrar cada HSM posterior, AWS CloudHSM crea una nueva copia de seguridad completa de todo el clúster.

  4. AWS CloudHSM repite los pasos 3 y 4 para cada HSM del clúster, migrando un HSM a la vez.

  5. Cada migración individual de HSM tarda aproximadamente 30 minutos.

AWS CloudHSM supervisa el estado del clúster y realiza validaciones durante el proceso de migración. Si AWS CloudHSM detecta un aumento de errores o falla una comprobación de validación, detiene automáticamente la migración y revierte el clúster al tipo de HSM original. También puede revertir manualmente hasta 24 horas después de iniciar la migración. Antes de revertir, consulte Consideraciones para la reversión del tipo de HSM.

Requisitos previos para la migración a hsm2m.medium

El clúster de AWS CloudHSM existente debe cumplir estos requisitos para poder migrar a hsm2m.medium. Si alguna condición no se cumple durante las comprobaciones de validación, AWS CloudHSM revierte automáticamente el clúster a su tipo de HSM original.

Para consultar una lista de problemas de migración conocidos, consulte Problemas conocidos de la modificación de clústeres de AWS CloudHSM.

  • En los últimos 7 días:

    • Todas las conexiones de cliente han utilizado SDK versión 5.9 o posterior.

      • Si se realizan operaciones de verificación ECDSA, todas las conexiones de cliente han utilizado SDK versión 5.13 o posterior.

    • Las instancias de AWS CloudHSM han utilizado únicamente funcionalidades compatibles (y ninguna de las funcionalidades obsoletas). Consulte las Notificaciones de obsolescencia para obtener más información.

    • Debe haber utilizado un SDK para conectarse al menos a un HSM del clúster en los últimos 7 días.

  • El clúster se encuentra en estado ACTIVO.

  • El clúster tiene 27 HSM o menos.

  • La tasa de errores de las operaciones de HSM no aumenta durante la migración.

nota

Se ha eliminado la restricción anterior que impedía a los clientes con cargas de trabajo de claves de token realizar la migración.

Modo de escritura limitada del clúster

Cuando inicia la migración del clúster, este entra en modo de escritura limitada. Se rechazan las operaciones que pueden cambiar el estado del HSM. Todas las operaciones de lectura permanecen sin cambios.

Durante la migración, la aplicación recibe un error del HSM al intentar realizar las siguientes operaciones:

  • Generación y eliminación de claves de token (las cargas de trabajo de claves de sesión continúan en funcionamiento).

  • Toda creación, eliminación o modificación de usuarios.

  • Operaciones de quórum.

  • Modificación de claves dentro del HSM, como el cambio de atributos de clave.

  • Registro de mTLS.

AWS CloudHSM también coloca el clúster en un estado MODIFY_IN_PROGRESS durante la migración. Durante este período, no puede agregar ni eliminar HSM del clúster.

Inicio de la migración

El proceso de migración del clúster reemplaza los HSM individuales del clúster, uno a la vez. La duración depende de la cantidad de HSM del clúster. En promedio, este proceso tarda aproximadamente 30 minutos por HSM. Puede realizar el seguimiento del progreso al supervisar el tipo de HSM de cada HSM individual del clúster para ver cuántos ya se han migrado al nuevo tipo.

Console
Para cambiar el tipo de HSM (consola)

  1. Abra la consola de AWS CloudHSM en https://console.aws.amazon.com/cloudhsm/home.

  2. Seleccione el botón de opción junto al ID del clúster que desea cambiar

  3. En el menú Acciones, elija Modify HSM Type y seleccione el tipo de HSM deseado

Este procedimiento coloca el clúster en el estado MODIFY_IN_PROGRESS. Después de la migración, el clúster vuelve al estado ACTIVE.

AWS CLI
Para cambiar el tipo de HSM (AWS CLI)

  • En el símbolo del sistema, ejecute el comando modify-cluster. Especifique el ID del clúster y el tipo de HSM deseado. 

    $ aws cloudhsmv2 modify-cluster --cluster-id <cluster ID> --hsm-type <HSM Type>
                                                 
 
 {
     "Cluster": {
         "BackupPolicy": "DEFAULT",
         "BackupRetentionPolicy": {
             "Type": "DAYS",
             "Value": 90
          },
         "VpcId": "vpc-50ae0636",
         "SubnetMapping": {
             "us-west-2b": "subnet-49a1bc00",
             "us-west-2c": "subnet-6f950334",
             "us-west-2a": "subnet-fd54af9b"
         },
         "SecurityGroup": "sg-6cb2c216",
         "HsmType": "hsm2m.medium",
         "HsmTypeRollbackExpiration": 1730383180.000,
         "Certificates": {},
         "State": "MODIFY_IN_PROGRESS",
         "Hsms": [],
         "ClusterId": "cluster-igklspoyj5v",
         "ClusterMode": "FIPS",
         "CreateTimestamp": 1502423370.069
     }
 }

Este procedimiento coloca el clúster en el estado MODIFY_IN_PROGRESS. Después de la migración, el clúster vuelve al estado ACTIVE.

AWS CloudHSM API
Para cambiar el tipo de HSM (API de AWS CloudHSM)

  • Envíe una solicitud ModifyCluster. Especifique el ID del clúster y el tipo de HSM deseado para el clúster.

Este procedimiento coloca el clúster en el estado MODIFY_IN_PROGRESS. Después de la migración, el clúster vuelve al estado ACTIVE.

Reversión de la migración

AWS CloudHSM supervisa la presencia de tasas de error elevadas y realiza comprobaciones de validación continuas durante la migración. Si AWS CloudHSM detecta una disminución en la calidad del servicio o cualquier fallo de validación, inicia automáticamente una reversión al tipo de HSM original del clúster. Durante una reversión, para cada HSM del clúster:

  • AWS CloudHSM utiliza la copia de seguridad tomada al inicio de la migración de ese HSM.

  • Reemplaza un HSM a la vez hasta que todos los HSM vuelven al tipo original.

  • El clúster permanece en modo de escritura limitada durante el proceso.

Puede revertir la migración dentro de las 24 horas posteriores a su inicio. Para comprobar el plazo de reversión:

  1. Ejecute el comando describe-clusters.

  2. Busque el valor HsmTypeRollbackExpiration. Esta marca de tiempo corresponde al plazo límite para la reversión.

Si decide revertir la migración, hágalo antes de que venza este plazo. La reversión utiliza la copia de seguridad más reciente del tipo de HSM original.

aviso

Tenga precaución al revertir después de que la migración se haya completado. Si completa una migración y posteriormente utiliza AWS CloudHSM para crear nuevas claves o usuarios, la reversión puede provocar pérdida de datos. Consulte Sincronización de datos después de una reversión para aprender cómo mitigar la pérdida de datos tras una reversión.

Console
Para revertir el tipo de HSM (consola)

  1. Abra la consola de AWS CloudHSM en https://console.aws.amazon.com/cloudhsm/home.

  2. Seleccione el ID del clúster que desea revertir.

  3. En el menú Acciones, elija Modify HSM Type y seleccione el tipo de HSM original.

Este procedimiento coloca el clúster en el estado ROLLBACK_IN_PROGRESS. Después de la reversión, el clúster vuelve al estado ACTIVE.

AWS CLI
Para revertir el tipo de HSM (AWS CLI)

  • En el símbolo del sistema, ejecute el comando modify-cluster. Especifique el ID del clúster y el tipo de HSM original. 

    $ aws cloudhsmv2 modify-cluster --cluster-id <cluster ID> --hsm-type <HSM Type>
                                
{
 "Cluster": {
     "BackupPolicy": "DEFAULT",
     "BackupRetentionPolicy": {
         "Type": "DAYS",
         "Value": 90
      },
     "VpcId": "vpc-50ae0636",
     "SubnetMapping": {
         "us-west-2b": "subnet-49a1bc00",
         "us-west-2c": "subnet-6f950334",
         "us-west-2a": "subnet-fd54af9b"
     },
     "SecurityGroup": "sg-6cb2c216",
     "HsmType": "hsm1.medium",
     "HsmTypeRollbackExpiration": 1730383180.000,
     "Certificates": {},
     "State": "ROLLBACK_IN_PROGRESS",
     "Hsms": [],
     "ClusterId": "cluster-igklspoyj5v",
     "ClusterMode": "FIPS",
     "CreateTimestamp": 1502423370.069
 }
}

Este procedimiento coloca el clúster en el estado ROLLBACK_IN_PROGRESS. Después de la reversión, el clúster vuelve al estado ACTIVE.

AWS CloudHSM API
Para revertir el tipo de HSM (API de AWS CloudHSM)

  • Envíe una solicitud ModifyCluster. Especifique el ID del clúster y el tipo de HSM original para el clúster.

Este procedimiento coloca el clúster en el estado ROLLBACK_IN_PROGRESS. Después de la reversión, el clúster vuelve al estado ACTIVE.

Sincronización de datos después de una reversión

Durante la migración, los HSM se encuentran en modo de escritura limitada, lo que impide cambios en el estado del HSM. Si revierte durante este periodo (mientras el clúster está en el estado MODIFY_IN_PROGRESS), el resultado es un clúster con contenido idéntico al clúster original.

Después de que el clúster vuelve al estado ACTIVE, se levanta el modo de escritura limitada. Si crea una clave o un usuario mientras el clúster está en el estado ACTIVE y luego realiza una reversión, esa clave o ese usuario no estarán presentes en el clúster revertido.

Para abordar la sincronización de usuarios, utilice administración de usuarios con la CLI de CloudHSM para recrear manualmente los usuarios faltantes en el clúster revertido. Los usuarios se deben volver a crear manualmente porque el comando user replicate no admite la sincronización de usuarios de hsm2m.medium a hsm1.medium. Consulte la sección Problemas conocidos de la replicación de usuarios.

Para abordar la sincronización de claves, utilice el comando de replicación de claves para replicar una clave entre dos clústeres. Si no ha instalado la CLI de CloudHSM, consulte las instrucciones en Introducción a la interfaz de la línea de comandos (CLI) de AWS CloudHSM.

Para sincronizar claves después de una reversión

Siga estos pasos después de completar la reversión. Usaremos los siguientes términos:

  • “cluster-1”: el clúster revertido (ahora hsm1.medium)

  • “cluster-2”: un nuevo clúster temporal hsm2m.medium que creará

  1. Cree un nuevo clúster hsm2m.medium (clúster-2) con la copia de seguridad más reciente de hsm2m.medium del clúster-1.

    aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
                                --subnet-ids <subnet ID 1> <subnet ID 2> <subnet ID N> \
                                --source-backup-id <backup ID>
                                --mode <FIPS>

  2. Cree un HSM en clúster-2:

    aws cloudhsmv2 create-hsm --cluster-id <cluster-2 ID>

  3. Enumere las claves en clúster-2 que requieren replicación.

    cloudhsm-cli key list --cluster-id <cluster-2 ID>

  4. Replique cada clave desde clúster-2 hacia clúster-1:

    cloudhsm-cli key replicate --source-cluster-id <cluster-2 ID> \
                        --destination-cluster-id <cluster-1 ID> \
                        --filter attr.label=<key ID>

  5. Repita el paso 4 para cada clave que se necesite copiar.

  6. Eliminación del HSM en el clúster-2:

    aws cloudhsmv2 delete-hsm --cluster-id <cluster-2 ID> --hsm-id <HSM ID>

  7. Eliminación del clúster-2:

    aws cloudhsmv2 delete-cluster --cluster-id <cluster-2 ID>