Fallos de replicación de claves en Client SDK 5 de AWS CloudHSM - AWS CloudHSM
Problema: la clave seleccionada no está sincronizada en todo el clústerProblema: existe una clave con la misma referencia en el clúster de destino, pero con información o atributos diferentes

Fallos de replicación de claves en Client SDK 5 de AWS CloudHSM

El comando key replicate de la CLI de CloudHSM replica una clave de un clúster de origen del AWS CloudHSM a un clúster de destino del AWS CloudHSM. En esta guía se abordan los errores causados por inconsistencias dentro del clúster de origen o entre el clúster de origen y el clúster de destino.

Problema: la clave seleccionada no está sincronizada en todo el clúster

El proceso de replicación de claves comprueba la sincronización de las claves en todo el clúster de origen. Si algún valor de la información o de los atributos de una clave aparece como “inconsistente”, esto indica que la clave no está sincronizada en todo el clúster. La replicación de claves falla con el siguiente mensaje de error: 

{
  "error_code": 1,
  "data": "The selected key is not synchronized throughout the cluster"
}

Para comprobar la desincronización de claves en el clúster de origen

  1. Ejecute el comando key list en la CLI de CloudHSM.

  2. Use el indicador --filter para especificar la clave.

  3. Agregue el indicador --verbose para ver la salida completa con información sobre la cobertura de la clave.

aws-cloudhsm > key list --filter attr.label=example-desynchronized-key-label --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x000000000048000f",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "example-desynchronized-key-label",
          "id": "0x",
          "check-value": "0xbe79db",
          "class": "secret-key",
          "encrypt": false,
          "decrypt": false,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": "inconsistent",
          "trusted": false,
          "unwrap": false,
          "verify": true,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 16
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}
Resolución: sincronización de la información y los atributos de las claves en todo el clúster de origen

Para sincronizar la información y los atributos de las claves en todo el clúster de origen:

  1. En el caso de una cobertura incoherente de usuarios compartidos, use los comandos key set-attribute o para ajustar el uso compartido de claves con los usuarios correspondientes.

  2. En el caso de una cobertura incoherente de usuarios compartidos, use los comandos key share o key unshare para ajustar el uso compartido de claves con los usuarios correspondientes.

Problema: existe una clave con la misma referencia en el clúster de destino, pero con información o atributos diferentes

Si existe una clave con la misma referencia en el clúster de destino, pero con información o atributos distintos, puede producirse el siguiente error: 

{
  "error_code": 1,
  "data": "Key replicate failed on 1 of 3 connections"
}
Resolución

  1. Determine qué versión de la clave se debe conservar.

  2. Elimine la versión de la clave no deseada mediante el comando key delete en el clúster correspondiente.

  3. Replique la clave desde el clúster que contiene la versión correcta.