Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Problemi noti per le istanze hsm2m.medium AWS CloudHSM
I seguenti problemi riguardano tutte le istanze di hsm2m.medium. AWS CloudHSM
Argomenti
Problema: aumento della latenza di accesso su hsm2m.medium
-
Impatto: hsm2m.medium è conforme ai più recenti requisiti FIPS 140-3 di livello 3. L'accesso a hsm2m.medium segue requisiti di sicurezza e conformità avanzati, che si traducono in una maggiore latenza.
-
Soluzione alternativa: se possibile, serializza le richieste di accesso nella stessa applicazione per evitare una latenza prolungata durante l'accesso. Richieste di accesso multiple in parallelo causeranno un aumento della latenza.
Problema: aumento della latenza di ricerca della chiave su hsm2m.medium
-
Impatto: l'istanza HSM hsm2m.medium ha migliorato l'architettura Fair Share che si traduce in prestazioni prevedibili più costanti rispetto a hsm1.medium. Con hsm1.medium, i clienti possono osservare prestazioni di find key più elevate a causa dell'uso irregolare delle risorse HSM. Tuttavia, le prestazioni di hsm1.medium find key diminuiranno quando l'istanza HSM viene patchata o aggiornata con un nuovo firmware. Questo problema riguarda operazioni come in JCE.
KeyStore.getKey() -
Soluzione alternativa: stiamo lavorando per migliorare il nostro firmware HSM. Come procedura ottimale, memorizza nella cache i risultati delle operazioni di ricerca chiave. La memorizzazione nella cache ridurrà il numero totale di operazioni di ricerca delle chiavi in quanto si tratta di un'operazione che richiede molte risorse in HSM. Inoltre, implementa nuovi tentativi sul lato client con backoff e jitter esponenziali per ridurre gli errori di throttling HSM.
Problema: un CO che tenta di impostare l'attributo trusted di una chiave avrà esito negativo con Client SDK 5.12.0 e versioni precedenti
Impatto: qualsiasi utente CO che tenti di impostare l'attributo trusted di una chiave riceverà un errore che lo indica.
User type should be CO or CU-
Risoluzione: le versioni future di Client SDK risolveranno questo problema. Gli aggiornamenti verranno annunciati nella nostra guida per l'utente. Cronologia dei documenti
Problema: la verifica ECDSA avrà esito negativo con Client SDK 5.12.0 e versioni precedenti per i cluster in modalità FIPS
Impatto: l'operazione di verifica ECDSA eseguita in modalità FIPS avrà esito negativo. HSMs
-
Stato della risoluzione: questo problema è stato risolto nella versione client SDK 5.13.0. È necessario eseguire l'aggiornamento a questa versione del client o a una versione successiva per usufruire della correzione.
Problema: solo i certificati in formato PEM possono essere registrati come mtls trust anchors con la CLI di CloudHSM
Impatto: i certificati in formato DER non possono essere registrati come ancoraggi di fiducia MTLS con CloudHSM CLI.
-
Soluzione alternativa: puoi convertire un certificato in formato DER in formato PEM con il comando openssl:
openssl x509 -inform DER -outform PEM -incertificate.der-outcertificate.pem
Problema: le applicazioni dei clienti interromperanno l'elaborazione di tutte le richieste quando utilizzano MTL con una chiave privata del client protetta da passphrase.
Impatto: tutte le operazioni eseguite dall'applicazione verranno interrotte e all'utente verrà richiesta la passphrase durante l'immissione standard più volte nel corso della durata dell'applicazione. Le operazioni scadranno e falliranno se la passphrase non viene fornita prima della durata del timeout dell'operazione.
-
Soluzione alternativa: le chiavi private crittografate con passphrase non sono supportate per gli MTL. Rimuovere la crittografia con passphrase dalla chiave privata del client
Problema: la replica utente non riesce quando si utilizza la CLI CloudhSM
-
Impatto: la replica degli utenti non riesce sulle istanze hsm2m.medium quando si utilizza la CLI CloudHSM. Il comando funziona come previsto sulle istanze hsm1.medium.
user replicate -
Risoluzione: stiamo lavorando per risolvere questo problema. Per gli aggiornamenti, consulta Cronologia dei documenti la guida per l'utente.
Problema: le operazioni possono fallire durante la creazione del backup
-
Impatto: operazioni come la generazione di numeri casuali possono fallire sulle istanze hsm2m.medium mentre AWS CloudHSM crea un backup.
-
Risoluzione: per ridurre al minimo le interruzioni del servizio, implementa queste best practice:
-
Creare un cluster multi-HSM
-
Configura le tue applicazioni per riprovare le operazioni del cluster
Per ulteriori informazioni sulle best practice, consultaLe migliori pratiche per AWS CloudHSM.
-
Problema: Client SDK 5.8 e versioni successive non eseguono tentativi automatici per le operazioni con limitazione HSM in alcuni scenari su hsm2m.medium
-
Impatto: Client SDK 5.8 e versioni successive non riproveranno alcune operazioni limitate da HSM
-
Soluzione alternativa: segui le best practice per progettare il cluster in modo da gestire il carico e implementare nuovi tentativi a livello di applicazione. Al momento stiamo lavorando a una soluzione. Gli aggiornamenti verranno annunciati nella nostra guida per l'utenteCronologia dei documenti.
-
Stato della risoluzione: questo problema è stato risolto in AWS CloudHSM Client SDK 5.16.2. È necessario eseguire l'aggiornamento a questa versione del client o a una versione successiva per usufruire della correzione.
