Masalah yang diketahui untuk instance AWS CloudHSM hsm2m.medium - AWS CloudHSM
Masalah: Peningkatan latensi login di hsm2m.mediumMasalah: Peningkatan latensi kunci temukan di hsm2m.mediumMasalah: CO yang mencoba menyetel atribut tepercaya dari kunci akan gagal dengan Client SDK 5.12.0 dan yang lebih lamaMasalah: Verifikasi ECDSA akan gagal dengan Client SDK 5.12.0 dan sebelumnya untuk cluster dalam mode FIPSMasalah: Hanya sertifikat berformat PEM yang dapat didaftarkan sebagai jangkar kepercayaan mtls dengan CloudHSM CLIMasalah: Aplikasi pelanggan akan berhenti memproses semua permintaan saat menggunakan mTL dengan kunci pribadi klien yang dilindungi frasa sandi.Masalah: Replikasi pengguna gagal saat menggunakan CloudHSM CLIMasalah: Operasi dapat gagal selama pembuatan cadanganMasalah: Klien SDK 5.8 dan di atasnya tidak melakukan percobaan ulang otomatis untuk operasi terhambat HSM dalam beberapa skenario di hsm2m.mediumMasalah: AES/CBC membuka operasi dengan semua nol IV gagal pada hsm2m.mediumMasalah: Kegagalan untuk menginisialisasi koneksi HSM selama aplikasi dingin dimulai pada hsm2m.medium

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Masalah yang diketahui untuk instance AWS CloudHSM hsm2m.medium

Masalah berikut memengaruhi semua instance AWS CloudHSM hsm2m.medium.

Masalah: Peningkatan latensi login di hsm2m.medium

  • Dampak: Masuk ke hsm2m.medium mengikuti interpretasi persyaratan kepatuhan yang terlalu ketat, yang menghasilkan peningkatan latensi.

  • Resolusi: Jika Anda membuat instance hsm2m.medium baru atau bermigrasi ke hsm2m.medium dari hsm1.medium sebelum 20 Desember 2025, Anda perlu mengatur ulang kata sandi Anda untuk memanfaatkan peningkatan kinerja yang telah kami terapkan untuk operasi login. Lihat perubahan-kata sandi untuk instruksi.

Masalah: Peningkatan latensi kunci temukan di hsm2m.medium

  • Dampak: Instans HSM hsm2m.medium telah meningkatkan arsitektur fair share yang menghasilkan kinerja yang dapat diprediksi lebih konsisten dibandingkan dengan hsm1.medium. Dengan hsm1.medium, pelanggan dapat mengamati kinerja kunci pencarian yang lebih tinggi karena penggunaan sumber daya HSM yang tidak teratur. Namun, hsm1.medium find key performance akan menurun ketika instance HSM ditambal atau diperbarui dengan firmware baru. Masalah ini memengaruhi operasi seperti KeyStore.getKey() di JCE.

  • Resolusi: Masalah ini telah diselesaikan. Sebagai praktik terbaik, cache hasil dari operasi find key. Caching akan mengurangi jumlah total operasi find key karena merupakan operasi intensif sumber daya di HSM. Selain itu, terapkan percobaan ulang sisi klien dengan backoff eksponensial dan jitter untuk mengurangi kegagalan pelambatan HSM.

Masalah: CO yang mencoba menyetel atribut tepercaya dari kunci akan gagal dengan Client SDK 5.12.0 dan yang lebih lama

  • Dampak: Setiap pengguna CO yang mencoba menyetel atribut tepercaya dari kunci akan menerima kesalahan yang menunjukkan hal ituUser type should be CO or CU.

  • Resolusi: Versi SDK Klien yang akan datang akan menyelesaikan masalah ini. Pembaruan akan diumumkan di panduan pengguna kamiRiwayat dokumen.

Masalah: Verifikasi ECDSA akan gagal dengan Client SDK 5.12.0 dan sebelumnya untuk cluster dalam mode FIPS

  • Dampak: ECDSA memverifikasi operasi yang dilakukan untuk HSMs dalam mode FIPS akan gagal.

  • Status resolusi: Masalah ini telah diselesaikan dalam rilis SDK 5.13.0 klien. Anda harus meningkatkan ke versi klien ini atau yang lebih baru untuk mendapatkan keuntungan dari perbaikan.

Masalah: Hanya sertifikat berformat PEM yang dapat didaftarkan sebagai jangkar kepercayaan mtls dengan CloudHSM CLI

  • Dampak: Sertifikat dalam format DER tidak dapat didaftarkan sebagai jangkar kepercayaan mTLS dengan CloudHSM CLI.

  • Solusi: Anda dapat mengonversi sertifikat dalam format DER ke format PEM dengan perintah openssl: openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem

Masalah: Aplikasi pelanggan akan berhenti memproses semua permintaan saat menggunakan mTL dengan kunci pribadi klien yang dilindungi frasa sandi.

  • Dampak: Semua operasi yang dilakukan oleh aplikasi akan dihentikan dan pengguna akan diminta untuk frasa sandi pada input standar beberapa kali sepanjang masa aplikasi. Operasi akan habis waktu dan gagal jika frasa sandi tidak diberikan sebelum durasi batas waktu operasi.

  • Solusi: Kunci pribadi terenkripsi frasa sandi tidak didukung untuk mTL. Hapus enkripsi frasa sandi dari kunci pribadi klien

Masalah: Replikasi pengguna gagal saat menggunakan CloudHSM CLI

  • Dampak: Replikasi pengguna gagal pada instance hsm2m.medium saat menggunakan CloudHSM CLI. user replicatePerintah berfungsi seperti yang diharapkan pada instance hsm1.medium.

  • Resolusi: Masalah ini telah diselesaikan.

Masalah: Operasi dapat gagal selama pembuatan cadangan

  • Dampak: Operasi seperti menghasilkan angka acak dapat gagal pada instans hsm2m.medium sementara AWS CloudHSM membuat cadangan.

  • Resolusi: Untuk meminimalkan gangguan layanan, terapkan praktik terbaik ini:

    • Buat cluster multi-HSM

    • Konfigurasikan aplikasi Anda untuk mencoba lagi operasi klaster

    Untuk informasi lebih lanjut tentang praktik terbaik, lihat Praktik terbaik untuk AWS CloudHSM.

Masalah: Klien SDK 5.8 dan di atasnya tidak melakukan percobaan ulang otomatis untuk operasi terhambat HSM dalam beberapa skenario di hsm2m.medium

  • Dampak: Klien SDK 5.8 dan di atasnya tidak akan mencoba lagi beberapa operasi terbatas HSM

  • Solusi: Ikuti praktik terbaik untuk merancang klaster Anda guna menangani pemuatan dan implementasi percobaan ulang tingkat aplikasi. Saat ini kami sedang mengerjakan perbaikan. Pembaruan akan diumumkan di panduan pengguna kamiRiwayat dokumen.

  • Status resolusi: Masalah ini telah diselesaikan di SDK AWS CloudHSM Klien 5.16.2. Anda harus meningkatkan ke versi klien ini atau yang lebih baru untuk mendapatkan keuntungan dari perbaikan.

Masalah: AES/CBC membuka operasi dengan semua nol IV gagal pada hsm2m.medium

  • Dampak: Saat menggunakan AES/CBC mekanisme untuk membuka kunci menggunakan penyedia AWS CloudHSM JCE, operasi dengan IV terisi nol 16 byte gagal pada instance hsm2m.medium, karena pemeriksaan validasi tambahan yang tidak ada dalam instance hsm1.medium.

  • Status Resolusi: Kami sedang mengerjakan perbaikan yang memungkinkan zero-byte diterima selama IVs AES/CBC operasi unwrap.

Masalah: Kegagalan untuk menginisialisasi koneksi HSM selama aplikasi dingin dimulai pada hsm2m.medium

  • Dampak: Masalah ini memengaruhi start dingin seperti penerapan aplikasi klien atau restart. Instans HSM hsm2m.medium telah meningkatkan arsitektur fair share yang memastikan kinerja, throughput, dan latensi yang lebih konsisten untuk semua pelanggan. Saat ini di hsm1.medium, Anda dapat mengamati kinerja yang lebih tinggi dari yang dimaksudkan untuk inisialisasi koneksi HSM bersamaan. Namun, kinerja inisialisasi koneksi hsm1.medium akan bervariasi berdasarkan pembaruan sistem yang mendasarinya.

  • Resolusi: Ikuti praktik terbaik dan terhuyung-huyung penerapan aplikasi klien dan restart untuk membatasi jumlah aplikasi klien yang menginisialisasi koneksi HSM secara bersamaan. Kami juga menyarankan Anda menerapkan percobaan ulang tingkat aplikasi untuk inisialisasi aplikasi klien. Selain itu, bootstrap menggunakan alat konfigurasi dengan --cluster-id <cluster ID> untuk menambahkan semua IP HSM ke file konfigurasi klien.