Problemi noti per le istanze hsm2m.medium AWS CloudHSM

Impatto: l'accesso a hsm2m.medium segue un'interpretazione eccessivamente rigorosa dei requisiti di conformità, con conseguente aumento della latenza.

Risoluzione: se hai creato una nuova istanza di hsm2m.medium o sei migrato a hsm2m.medium da hsm1.medium prima del 20 dicembre 2025, dovrai reimpostare la password per sfruttare i miglioramenti delle prestazioni che abbiamo implementato per le operazioni di accesso. Per istruzioni, consulta la pagina di modifica della password.

Impatto: l'istanza HSM hsm2m.medium ha migliorato l'architettura Fair Share che si traduce in prestazioni prevedibili più costanti rispetto a hsm1.medium. Con hsm1.medium, i clienti possono osservare prestazioni di find key più elevate a causa dell'uso irregolare delle risorse HSM. Tuttavia, le prestazioni di hsm1.medium find key diminuiranno quando l'istanza HSM viene patchata o aggiornata con un nuovo firmware. Questo problema riguarda operazioni come in JCE. KeyStore.getKey()

Risoluzione: questo problema è stato risolto. Come procedura ottimale, memorizza nella cache i risultati delle operazioni di ricerca chiave. La memorizzazione nella cache ridurrà il numero totale di operazioni di ricerca delle chiavi in quanto si tratta di un'operazione che richiede molte risorse in HSM. Inoltre, implementa nuovi tentativi sul lato client con backoff e jitter esponenziali per ridurre gli errori di throttling HSM.

Impatto: qualsiasi utente CO che tenti di impostare l'attributo trusted di una chiave riceverà un errore che lo indica. User type should be CO or CU

Risoluzione: le versioni future di Client SDK risolveranno questo problema. Gli aggiornamenti verranno annunciati nella nostra guida per l'utente. Cronologia dei documenti

Impatto: l'operazione di verifica ECDSA eseguita in modalità FIPS avrà esito negativo. HSMs

Stato della risoluzione: questo problema è stato risolto nella versione client SDK 5.13.0. È necessario eseguire l'aggiornamento a questa versione del client o a una versione successiva per usufruire della correzione.

Impatto: i certificati in formato DER non possono essere registrati come ancoraggi di fiducia MTLS con CloudHSM CLI.

Soluzione alternativa: puoi convertire un certificato in formato DER in formato PEM con il comando openssl: openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem

Impatto: tutte le operazioni eseguite dall'applicazione verranno interrotte e all'utente verrà richiesta la passphrase durante l'immissione standard più volte nel corso della durata dell'applicazione. Le operazioni scadranno e falliranno se la passphrase non viene fornita prima della durata del timeout dell'operazione.

Soluzione alternativa: le chiavi private crittografate con passphrase non sono supportate per gli MTL. Rimuovere la crittografia con passphrase dalla chiave privata del client

Impatto: la replica degli utenti non riesce sulle istanze hsm2m.medium quando si utilizza la CLI CloudHSM. Il comando funziona come previsto sulle istanze hsm1.medium. user replicate

Risoluzione: questo problema è stato risolto.

Impatto: operazioni come la generazione di numeri casuali possono fallire sulle istanze hsm2m.medium mentre AWS CloudHSM crea un backup.

Risoluzione: per ridurre al minimo le interruzioni del servizio, implementa queste best practice:

Per ulteriori informazioni sulle best practice, consultaLe migliori pratiche per AWS CloudHSM.

Impatto: Client SDK 5.8 e versioni successive non riproveranno alcune operazioni limitate da HSM

Soluzione alternativa: segui le best practice per progettare il cluster in modo da gestire il carico e implementare nuovi tentativi a livello di applicazione. Al momento stiamo lavorando a una soluzione. Gli aggiornamenti verranno annunciati nella nostra guida per l'utenteCronologia dei documenti.

Stato della risoluzione: questo problema è stato risolto in AWS CloudHSM Client SDK 5.16.2. È necessario eseguire l'aggiornamento a questa versione del client o a una versione successiva per usufruire della correzione.

Impatto: quando si utilizza un AES/CBC meccanismo per decomprimere le chiavi utilizzando il provider AWS CloudHSM JCE, le operazioni con un IV da 16 byte con riempimento zero non riescono sulle istanze hsm2m.medium, a causa di un ulteriore controllo di convalida che non era presente nelle istanze hsm1.medium.

Stato della risoluzione: stiamo lavorando a una correzione che consentirà l'accettazione di zero byte durante le operazioni di unwrap. IVs AES/CBC

Impatto: questo problema riguarda gli avviamenti a freddo, ad esempio la distribuzione o il riavvio di applicazioni client. L'istanza HSM hsm2m.medium ha migliorato l'architettura fair share che garantisce prestazioni, throughput e latenza più costanti per tutti i clienti. Al momento su hsm1.medium, è possibile osservare prestazioni superiori a quelle previste per l'inizializzazione simultanea della connessione HSM. Tuttavia, le prestazioni di inizializzazione della connessione hsm1.medium varieranno in base agli aggiornamenti di sistema sottostanti.

Risoluzione: seguire le best practice e scaglionare le distribuzioni e i riavvii delle applicazioni client per limitare il numero di applicazioni client che inizializzano contemporaneamente le connessioni HSM. Si consiglia inoltre di implementare nuovi tentativi a livello di applicazione per l'inizializzazione delle applicazioni client. Inoltre, esegui il bootstrap utilizzando lo strumento di configurazione con --cluster-id <cluster ID> per aggiungere tutti gli IP HSM al file di configurazione del client.