Problemas conocidos en las instancias hsm2m.medium AWS CloudHSM

Impacto: al iniciar sesión en hsm2m.medium se debe interpretar de forma demasiado estricta los requisitos de conformidad, lo que se traduce en un aumento de la latencia.

Solución: si has creado una nueva instancia de hsm2m.medium o has migrado a hsm2m.medium desde hsm1.medium antes del 20 de diciembre de 2025, tendrás que restablecer tu contraseña para aprovechar las mejoras de rendimiento que hemos implementado para las operaciones de inicio de sesión. Consulte las instrucciones para cambiar la contraseña.

Impacto: la instancia de HSM hsm2m.medium incorpora una arquitectura de uso equitativo mejorada, lo que se traduce en un rendimiento más coherente y predecible en comparación con hsm1.medium. Con hsm1.medium, los clientes pueden experimentar un mayor rendimiento en las operaciones de búsqueda de claves debido al uso irregular de los recursos del HSM. No obstante, el rendimiento de búsqueda de claves en hsm1.medium disminuye cuando la instancia de HSM recibe parches o se actualiza con nuevo firmware. Este problema afecta a operaciones como KeyStore.getKey() en JCE.

Solución: este problema se ha resuelto. Como práctica recomendada, almacene en caché los resultados de las operaciones de búsqueda de claves. El uso de caché reduce el número total de operaciones de búsqueda de claves, ya que se trata de una operación intensiva en recursos dentro del HSM. Además, implemente reintentos del lado del cliente con retroceso exponencial y variación aleatoria para reducir los errores de limitación controlada del HSM.

Impacto: cualquier usuario CO que intente establecer el atributo de confianza de una clave recibirá un error que indique User type should be CO or CU.

Solución: las versiones futuras de Client SDK resolverán este problema. Las actualizaciones se anunciarán en nuestras guías de usuario Historial de documentos.

Impacto: la operación de verificación del ECDSA realizada HSMs en modo FIPS fallará.

Estado de resolución: Este problema se ha resuelto en la versión 5.13.0 de Client SDK. Debe actualizar a esta versión de cliente o una posterior para contar con la corrección.

Impacto: los certificados con formato DER no se pueden registrar como anclajes de veracidad de mTLS con la CLI de CloudHSM.

Solución alternativa: puede convertir un certificado en formato DER a formato PEM con el comando de OpenSSL: openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem

Impacto: todas las operaciones que ejecuta la aplicación se detienen, y el usuario recibe solicitudes repetidas para introducir la frase de contraseña a través de la entrada estándar durante toda la vida útil de la aplicación. Las operaciones superan el tiempo de espera y fallan si no se proporciona la frase de contraseña antes de que finalice el tiempo de espera de la operación.

Solución alternativa: las claves privadas cifradas con frase de contraseña no son compatibles con mTLS. Elimine el cifrado por frase de contraseña de la clave privada del cliente

Impacto: la replicación de usuarios falla en instancias hsm2m.medium al usar la CLI de CloudHSM. El comando user replicate funciona según lo esperado en instancias hsm1.medium.

Solución: este problema se ha resuelto.

Impacto: operaciones como la generación de números aleatorios pueden fallar en instancias hsm2m.medium mientras AWS CloudHSM crea una copia de seguridad.

Resolución: ´para minimizar las interrupciones del servicio, implemente las siguientes prácticas recomendadas:

Para obtener más información sobre las prácticas recomendadas, consulte Mejores prácticas para AWS CloudHSM.

Impacto: el SDK de cliente 5.8 y versiones posteriores no reintenta algunas operaciones de HSM sujetas a limitación controlada

Solución alternativa: siga las prácticas recomendadas para diseñar la arquitectura del clúster de modo que gestione la carga e implemente reintentos a nivel de aplicación. Trabajamos en una corrección. Las actualizaciones se anunciarán en nuestras guías de usuario Historial de documentos.

Estado de la resolución: este problema se ha resuelto en el SDK de AWS CloudHSM cliente 5.16.2. Debe actualizar a esta versión de cliente o una posterior para contar con la corrección.

Impacto: Al utilizar AES/CBC un mecanismo para desempaquetar claves mediante el proveedor AWS CloudHSM JCE, las operaciones con un IV de 16 bytes lleno de ceros fallan en las instancias de hsm2m.medium, debido a una comprobación de validación adicional que no estaba en las instancias de hsm1.medium.

Estado de la resolución: estamos trabajando en una solución que permitirá aceptar cero bytes durante las operaciones de desempaquetado. IVs AES/CBC

Impacto: este problema afecta a los arranques en frío, como las implementaciones o los reinicios de aplicaciones cliente. La instancia HSM hsm2m.medium cuenta con una arquitectura de distribución equitativa mejorada, que garantiza un rendimiento, un rendimiento y una latencia más uniformes para todos los clientes. Actualmente, en hsm1.medium, es posible que observe un rendimiento superior al previsto en la inicialización simultánea de la conexión HSM. Sin embargo, el rendimiento de inicialización de la conexión hsm1.medium variará en función de las actualizaciones del sistema subyacentes.

Solución: siga las prácticas recomendadas y escalone las implementaciones y los reinicios de las aplicaciones cliente para limitar la cantidad de aplicaciones cliente que inicializan conexiones HSM de forma simultánea. También se recomienda implementar reintentos a nivel de aplicación para la inicialización de las aplicaciones cliente. Además, inicie con la herramienta de configuración --cluster-id <cluster ID> para añadir todas las IP de HSM al archivo de configuración del cliente.