Problema: aumento de la latencia de inicio de sesión en hsm2m.medium Problema: aumento de la latencia de búsqueda de claves en hsm2m.medium Problema: si un CO intenta establecer el atributo de confianza de una clave, se produce un error con Client SDK 5.12.0 y versiones anteriores Problema: la verificación de ECDSA fallará con Client SDK 5.12.0 y versiones anteriores para los clústeres en modo FIPS Problema: solo los certificados con formato PEM se pueden registrar como anclajes de veracidad de mtls con la CLI de CloudHSM Problema: las aplicaciones del cliente dejan de procesar todas las solicitudes al usar mTLS con una clave privada de cliente protegida con frase de contraseña.Problema: la replicación de usuarios falla al usar la CLI de CloudHSM Problema: las operaciones pueden fallar durante la creación de copias de seguridad Problema: el SDK de cliente 5.8 y versiones posteriores no realizan reintentos automáticos para operaciones de HSM sujetas a limitación controlada en algunos escenarios en instancias hsm2m.medium

Problemas conocidos para las instancias hsm2m.medium de AWS CloudHSM

Los siguientes problemas afectan a todas las instancias hsm2m.medium del AWS CloudHSM.

Temas

Problema: aumento de la latencia de inicio de sesión en hsm2m.medium
Problema: aumento de la latencia de búsqueda de claves en hsm2m.medium
Problema: si un CO intenta establecer el atributo de confianza de una clave, se produce un error con Client SDK 5.12.0 y versiones anteriores
Problema: la verificación de ECDSA fallará con Client SDK 5.12.0 y versiones anteriores para los clústeres en modo FIPS
Problema: solo los certificados con formato PEM se pueden registrar como anclajes de veracidad de mtls con la CLI de CloudHSM
Problema: las aplicaciones del cliente dejan de procesar todas las solicitudes al usar mTLS con una clave privada de cliente protegida con frase de contraseña.
Problema: la replicación de usuarios falla al usar la CLI de CloudHSM
Problema: las operaciones pueden fallar durante la creación de copias de seguridad
Problema: el SDK de cliente 5.8 y versiones posteriores no realizan reintentos automáticos para operaciones de HSM sujetas a limitación controlada en algunos escenarios en instancias hsm2m.medium

Problema: aumento de la latencia de inicio de sesión en hsm2m.medium

Impacto: el tipo de instancia hsm2m.medium cumple los requisitos más recientes de FIPS 140-3, nivel 3. El inicio de sesión en hsm2m.medium sigue requisitos de seguridad y cumplimiento más estrictos, lo que da lugar a una mayor latencia.
Solución alternativa: si es posible, serialice las solicitudes de inicio de sesión en la misma aplicación para evitar una latencia prolongada durante el inicio de sesión. Varias solicitudes de inicio de sesión en paralelo aumentarán la latencia.

Problema: aumento de la latencia de búsqueda de claves en hsm2m.medium

Impacto: la instancia de HSM hsm2m.medium incorpora una arquitectura de uso equitativo mejorada, lo que se traduce en un rendimiento más coherente y predecible en comparación con hsm1.medium. Con hsm1.medium, los clientes pueden experimentar un mayor rendimiento en las operaciones de búsqueda de claves debido al uso irregular de los recursos del HSM. No obstante, el rendimiento de búsqueda de claves en hsm1.medium disminuye cuando la instancia de HSM recibe parches o se actualiza con nuevo firmware. Este problema afecta a operaciones como KeyStore.getKey() en JCE.
Solución alternativa: trabajamos en la mejora del firmware del HSM. Como práctica recomendada, almacene en caché los resultados de las operaciones de búsqueda de claves. El uso de caché reduce el número total de operaciones de búsqueda de claves, ya que se trata de una operación intensiva en recursos dentro del HSM. Además, implemente reintentos del lado del cliente con retroceso exponencial y variación aleatoria para reducir los errores de limitación controlada del HSM.

Problema: si un CO intenta establecer el atributo de confianza de una clave, se produce un error con Client SDK 5.12.0 y versiones anteriores

Impacto: cualquier usuario CO que intente establecer el atributo de confianza de una clave recibirá un error que indique User type should be CO or CU.
Solución: las versiones futuras de Client SDK resolverán este problema. Las actualizaciones se anunciarán en nuestras guías de usuario Historial de documentos.

Problema: la verificación de ECDSA fallará con Client SDK 5.12.0 y versiones anteriores para los clústeres en modo FIPS

Impacto: la operación de verificación ECDSA ejecutada en HSM en modo FIPS falla.
Estado de resolución: Este problema se ha resuelto en la versión 5.13.0 de Client SDK. Debe actualizar a esta versión de cliente o una posterior para contar con la corrección.

Problema: solo los certificados con formato PEM se pueden registrar como anclajes de veracidad de mtls con la CLI de CloudHSM

Impacto: los certificados con formato DER no se pueden registrar como anclajes de veracidad de mTLS con la CLI de CloudHSM.
Solución alternativa: puede convertir un certificado en formato DER a formato PEM con el comando de OpenSSL: openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem

Problema: las aplicaciones del cliente dejan de procesar todas las solicitudes al usar mTLS con una clave privada de cliente protegida con frase de contraseña.

Impacto: todas las operaciones que ejecuta la aplicación se detienen, y el usuario recibe solicitudes repetidas para introducir la frase de contraseña a través de la entrada estándar durante toda la vida útil de la aplicación. Las operaciones superan el tiempo de espera y fallan si no se proporciona la frase de contraseña antes de que finalice el tiempo de espera de la operación.
Solución alternativa: las claves privadas cifradas con frase de contraseña no son compatibles con mTLS. Elimine el cifrado por frase de contraseña de la clave privada del cliente

Problema: la replicación de usuarios falla al usar la CLI de CloudHSM

Impacto: la replicación de usuarios falla en instancias hsm2m.medium al usar la CLI de CloudHSM. El comando user replicate funciona según lo esperado en instancias hsm1.medium.
Resolución: trabajamos para resolver este problema. Para obtener actualizaciones, consulte Historial de documentos en la guía del usuario.

Problema: las operaciones pueden fallar durante la creación de copias de seguridad

Impacto: operaciones como la generación de números aleatorios pueden fallar en instancias hsm2m.medium mientras AWS CloudHSM crea una copia de seguridad.
Resolución: ´para minimizar las interrupciones del servicio, implemente las siguientes prácticas recomendadas:
- Cree un clúster de múltiples HSM
- Configure las aplicaciones para reintentar las operaciones del clúster
Para obtener más información sobre las prácticas recomendadas, consulte Prácticas recomendadas de AWS CloudHSM.

Problema: el SDK de cliente 5.8 y versiones posteriores no realizan reintentos automáticos para operaciones de HSM sujetas a limitación controlada en algunos escenarios en instancias hsm2m.medium

Impacto: el SDK de cliente 5.8 y versiones posteriores no reintenta algunas operaciones de HSM sujetas a limitación controlada
Solución alternativa: siga las prácticas recomendadas para diseñar la arquitectura del clúster de modo que gestione la carga e implemente reintentos a nivel de aplicación. Trabajamos en una corrección. Las actualizaciones se anunciarán en nuestras guías de usuario Historial de documentos.
Estado de la resolución: este problema se ha resuelto en el SDK de cliente 5.16.2 de AWS CloudHSM. Debe actualizar a esta versión de cliente o una posterior para contar con la corrección.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Problemas conocidos de hsm1.medium

Problemas conocidos de la biblioteca PKCS #11