SDK Version: 2.03
Available Ciphers:
AES_128
AES_256
3DES
RSA (non-CRT. modulus size can be 2048/3072)
RSA_CRT (same as RSA)
For RSA, Exponent will be 65537
Current FIPS mode is: 00000002
Enter the number of thread [1-10]: 1
Enter the cipher: AES_256
Enter the data size [1-16200]: 8192
Enter time duration in Secs: 60
Starting non-blocking speed test using data length of 8192 bytes...
```
```
c:\Program Files\Amazon\CloudHSM>pkpspeed_blocking.exe -s CU user name -p password
login as USER
Initializing Cfm2 library
SDK Version: 2.03
Current FIPS mode is: 00000002
Please enter the number of threads [MAX=400] : 1
Please enter the time in seconds to run the test [MAX=600]: 20
Please select the test you want to run
RSA non-CRT------------------->A
RSA CRT----------------------->B
Basic 3DES CBC---------------->C
Basic AES--------------------->D
FIPS Random------------------->H
Random------------------------>I
AES GCM ---------------------->K
eXit------------------------>X
D
Running 1 threads for 20 sec
Enter the key size(128/192/256):256
Enter the size of the packet in bytes[1-16200]:8192
OPERATIONS/second 9/1
OPERATIONS/second 10/1
OPERATIONS/second 11/1
OPERATIONS/second 10/1
OPERATIONS/second 10/1
OPERATIONS/second 10/...
```
# AWS CloudHSM L'utente Client SDK 5 contiene valori non coerenti
Il `user list` comando in AWS CloudHSM Client SDK 5 restituisce un elenco di tutti gli utenti e le proprietà degli utenti nel cluster. Se una delle proprietà di un utente presenta il valore "**incoerente**", tale utente non è sincronizzato nel cluster. Ciò significa che l'utente esiste con proprietà diverse su diversi elementi HSMs del cluster. In base a quale proprietà è incoerente, è possibile effettuare diverse azioni di riparazione.
La tabella seguente descrive la procedura per risolvere le incoerenze di un singolo utente. Se un singolo utente presenta varie incoerenze, risolvile seguendo questi passaggi dall'alto verso il basso. Se vari utenti presentano incoerenze, effettua i passaggi per ciascun utente, risolvendo interamente le incoerenze per un utente prima di passare a quello successivo.
**Nota**
Per eseguire la procedura, l'ideale sarebbe effettuare l'accesso come amministratore. Se il tuo account amministratore è incoerente, effettua l'accesso come amministratore e segui la procedura, poi ripeti i passaggi finché tutte le proprietà non saranno coerenti. Una volta che il tuo account amministratore è coerente, puoi continuare a utilizzarlo per sincronizzare altri utenti del cluster.
| Proprietà incoerente | Output esemplificativo dell'elenco di utenti | Implicazione | Metodo di ripristino |
| --- | --- | --- | --- |
| Il "ruolo" dell'utente è "incoerente" | {
"username":
"test_user",
"role": "inconsistent",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
} | Questo utente è un amministratore CryptoUser su alcuni HSMs e un amministratore su altri HSMs. Ciò può accadere se due SDKs tentano di creare lo stesso utente, contemporaneamente, con ruoli diversi. È necessario rimuovere questo utente e ricrearlo con il ruolo desiderato. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/troubleshoot-sdk5-inconsistent-value.html) |
| La "cluster-coverage" dell'utente è "incoerente" | {
"username": "test_user",
"role": "crypto-user",
"locked": "false",
"mfa": [],
"cluster-coverage": "inconsistent"
} | Questo utente esiste HSMs in un sottoinsieme del cluster. Questo può accadere se un utente ha avuto successo **user create** parzialmente o se ha avuto successo parzialmente. **user delete** È necessario completare l'operazione precedente, creando o rimuovendo l'utente dal cluster. | Se l'utente non dovrebbe esistere, segui questa procedura: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/troubleshoot-sdk5-inconsistent-value.html) Se l'utente dovrebbe esistere, segui questa procedura: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/troubleshoot-sdk5-inconsistent-value.html) |
| Il parametro "bloccato" dell'utente è "incoerente" o "true" | {
"username":
"test_user",
"role": "crypto-user",
"locked": inconsistent,
"mfa": [],
"cluster-coverage": "full"
} | Questo utente è bloccato su un sottoinsieme di. HSMs Questo può accadere se un utente utilizza la password sbagliata e si connette solo a un sottoinsieme del HSMs cluster. È necessario modificare le credenziali dell'utente per garantire la coerenza in tutto il cluster. | Se l'utente ha attivato l'autenticazione a più fattori, segui questa procedura: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/troubleshoot-sdk5-inconsistent-value.html) Se l'autenticazione a più fattori deve essere attiva per l'utente, segui questa procedura: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/troubleshoot-sdk5-inconsistent-value.html) |
| Lo stato dell'autenticazione a più fattori è "incoerente" | {
"username": "test_user",
"role": "crypto-user",
"locked": "false",
"mfa": [
{
"strategy": "token-sign",
"status": "inconsistent"
}
],
"cluster-coverage": "full"
} | Questo utente ha diversi flag MFA su diversi all' HSMs interno del cluster. Questo può accadere se un'operazione MFA viene completata solo su un sottoinsieme di. HSMs È necessario reimpostare la password dell'utente e consentirgli di riattivare l'autenticazione a più fattori. | Se l'utente ha attivato l'autenticazione a più fattori, segui questa procedura: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/troubleshoot-sdk5-inconsistent-value.html) Se l'autenticazione a più fattori deve essere attiva per l'utente, segui questa procedura: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/troubleshoot-sdk5-inconsistent-value.html) |
# AWS CloudHSM Errori di replica degli utenti di Client SDK 5
Il `user replicate` comando nella CLI CloudHSM replica un utente tra cluster CloudHSM clonati. AWS Questa guida affronta gli errori dovuti a incongruenze degli utenti all'interno del cluster di origine o tra i cluster di origine e di destinazione. User replicate verifica la coerenza degli utenti controllando i seguenti attributi:
+ Ruolo utente
+ Stato di blocco dell'account
+ Stato del quorum
+ Stato dell'autenticazione Multi-Factor (MFA)
## Problema: l'utente selezionato non è sincronizzato in tutto il cluster
Il processo di replica degli utenti verifica la sincronizzazione degli utenti in tutto il cluster di origine. Se l'attributo di un utente ha il valore «inconsistente», significa che l'utente non è sincronizzato nel cluster. La replica utente non riesce e viene visualizzato il seguente messaggio di errore:
```
{
"error_code": 1,
"data": "Specified user is inconsistent across the cluster"
}
```
Per verificare la desincronizzazione degli utenti nel cluster di origine:
+ Esegui il `user list` comando nella CLI di CloudHSM.
```
aws-cloudhsm > user list
{
"error_code": 0,
"data": {
"users": [
{
"username": "admin",
"role": "admin",
"locked": "false",
"mfa": [],
"quorum": [],
"cluster-coverage": "full"
},
{
"username": "example-inconsistent-user",
"role": "admin",
"locked": "false",
"mfa": [],
"quorum": [],
"cluster-coverage": "inconsistent"
},
{
"username": "app_user",
"role": "internal(APPLIANCE_USER)",
"locked": "false",
"mfa": [],
"quorum": [],
"cluster-coverage": "full"
}
]
}
}
```
**Risoluzione: sincronizza gli attributi utente in tutto il cluster di origine**
+ Per sincronizzare le informazioni sugli utenti in tutto il cluster di origine, fare riferimento a quanto segue:. [AWS CloudHSM L'utente Client SDK 5 contiene valori non coerenti](troubleshoot-sdk5-inconsistent-value.md)
## Problema: Nel cluster di destinazione esiste un utente con attributi diversi
Se un utente esiste già con lo stesso riferimento esiste in uno o più HSMs nel cluster di destinazione ma ha attributi utente diversi, può verificarsi il seguente errore:
```
{
"error_code": 1,
"data": "User replicate failed on 1 of 3 connections"
}
```
**Risoluzione**
1. Determina quale versione dell'utente deve essere conservata.
1. Eliminare l'utente indesiderato nel cluster appropriato eseguendo il `user delete` comando. Per ulteriori informazioni, consulta [Eliminare un AWS CloudHSM utente con CloudHSM CLI](cloudhsm_cli-user-delete.md).
1. Replica l'utente eseguendo il comando. `user replicate`
## Problema: la replica utente da hsm2m.medium a hsm1.medium non riesce
La replica utente da hsm2m.medium a hsm1.medium non è supportata. Se si replica un utente da un cluster di origine hsm2m.medium a un cluster di destinazione hsm1.medium, si verificherà il seguente errore:
```
{
"error_code": 1,
"data": "User replicate failed on 1 of 1 connections"
}
```
**Risoluzione**
+ Utilizza la [gestione degli utenti](manage-hsm-users-chsm-cli.md) con CloudHSM CLI per ricreare manualmente gli utenti mancanti.
# AWS CloudHSM Errori di replica delle chiavi di Client SDK 5
Il `key replicate` comando nella CLI di CloudHSM replica una chiave da AWS CloudHSM un cluster di origine a un cluster di destinazione. AWS CloudHSM Questa guida affronta gli errori causati da incongruenze all'interno del cluster di origine o tra i cluster di origine e di destinazione.
## Problema: la chiave selezionata non è sincronizzata in tutto il cluster
Il processo di replica delle chiavi verifica la sincronizzazione delle chiavi in tutto il cluster di origine. Se alcune informazioni o attributi chiave hanno il valore «incoerente», significa che la chiave non è sincronizzata nel cluster. La replica delle chiavi fallisce e viene visualizzato il seguente messaggio di errore:
```
{
"error_code": 1,
"data": "The selected key is not synchronized throughout the cluster"
}
```
Per verificare la desincronizzazione delle chiavi nel cluster di origine:
1. Esegui il `key list` comando nella CLI di CloudHSM.
1. Utilizzate il `--filter ` flag per specificare la chiave.
1. Aggiungi il `--verbose` flag per visualizzare l'output completo con le informazioni chiave sulla copertura.
```
aws-cloudhsm > key list --filter attr.label=example-desynchronized-key-label --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x000000000048000f",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"key-quorum-values": {
"manage-key-quorum-value": 0,
"use-key-quorum-value": 0
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "example-desynchronized-key-label",
"id": "0x",
"check-value": "0xbe79db",
"class": "secret-key",
"encrypt": false,
"decrypt": false,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": "inconsistent",
"trusted": false,
"unwrap": false,
"verify": true,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 16
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
**Risoluzione: sincronizza le informazioni e gli attributi chiave in tutto il cluster di origine**
Per sincronizzare le informazioni e gli attributi chiave in tutto il cluster di origine:
1. Per attributi chiave non coerenti: utilizzate il `key set-attribute` comando per impostare l'attributo desiderato per la chiave specifica.
1. Per una copertura utente condivisa incoerente: utilizzate i `key unshare` comandi `key share` o per regolare la condivisione delle chiavi con gli utenti desiderati.
## Problema: nel cluster di destinazione esiste una chiave con lo stesso riferimento con informazioni o attributi diversi
Se una chiave con lo stesso riferimento esiste nel cluster di destinazione ma ha informazioni o attributi diversi, può verificarsi il seguente errore:
```
{
"error_code": 1,
"data": "Key replicate failed on 1 of 3 connections"
}
```
**Risoluzione**
1. Determina quale versione della chiave deve essere conservata.
1. Eliminare la versione della chiave indesiderata utilizzando il `key delete` comando nel cluster appropriato.
1. Replica la chiave dal cluster con la versione corretta.
# AWS CloudHSM errore rilevato durante il controllo della disponibilità delle chiavi
**Problema**: un modulo di sicurezza AWS CloudHSM hardware (HSM) restituisce il seguente errore:
```
Key does not meet the availability requirements - The key must be available on at least 2 HSMs before being used.
```
**Causa**: i controlli di disponibilità delle chiavi cercano chiavi che, in condizioni rare ma possibili, potrebbero andare perse. Questo errore si verifica in genere nei cluster con un solo HSM o nei cluster con due HSMs durante il periodo in cui uno di essi viene sostituito. In queste situazioni, è probabile che l'errore riportato sopra sia stato causato dalle seguenti operazioni del cliente:
+ È stata generata una nuova chiave utilizzando un comando come o. **[La categoria generate-symmetric nella CLI di CloudhSM](cloudhsm_cli-key-generate-symmetric.md)** **[La generate-asymmetric-pair categoria nella CLI di CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair.md)**
+ È stata avviata un'operazione **[Elenca le chiavi per un utente con CLI CloudhSM](cloudhsm_cli-key-list.md)**.
+ È stata avviata una nuova istanza dell'SDK.
**Nota**
OpenSSL crea spesso un fork di nuove istanze dell'SDK.
**Risoluzione/consiglio**: effettua una delle seguenti azioni per evitare che si verifichi questo errore:
+ Utilizza il parametro **--disable-key-availability-check** per impostare la disponibilità delle chiavi su false nel file di configurazione dello [strumento di configurazione](configure-tool.md). Per ulteriori informazioni, consulta la sezione [AWS CloudHSM Parametri di configurazione di Client SDK 5](configure-tool-params5.md) dello Strumento di configurazione.
+ Se utilizzi un cluster con due HSMs, evita di utilizzare le operazioni che hanno causato l'errore, tranne durante il codice di inizializzazione.
+ Aumenta la quantità di HSMs dati presenti nel cluster ad almeno tre.
# AWS CloudHSM estrazione di chiavi usando JCE
Utilizza le seguenti sezioni per risolvere i problemi relativi all'estrazione AWS CloudHSM delle chiavi con JCE.
## getEncoded o getS getPrivateExponent restituisce null
`getEncoded`, `getPrivateExponent` e `getS` restituiranno un valore null perché sono disabilitati per impostazione predefinita. Per abilitarli, fai riferimento alla pagina [Estrazione delle chiavi con JCE per AWS CloudHSM](java-lib-configs-getencoded.md).
Se `getEncoded`, `getPrivateExponent` e `getS` restituiscono un valore null dopo essere stati abilitati, vuol dire che la chiave non soddisfa i prerequisiti corretti. Per ulteriori informazioni, vedi [Estrazione delle chiavi con JCE per AWS CloudHSM](java-lib-configs-getencoded.md).
## getEncoded getPrivateExponent o GETS restituiscono byte della chiave al di fuori dell'HSM
Tu o qualcuno con accesso al tuo sistema ha abilitato l'estrazione in chiaro delle chiavi. Consulta le pagine seguenti per ulteriori informazioni, comprese le istruzioni su come ripristinare questa configurazione allo stato disabilitato predefinito.
+ [Estrazione delle chiavi con JCE per AWS CloudHSM](java-lib-configs-getencoded.md)
+ [Protezione ed estrazione delle chiavi da un HSM](bp-hsm-key-management.md#best-practices-key-protection)
# Limitazione HSM
Quando il carico di lavoro supera la capacità del modulo di sicurezza hardware (HSM) del AWS CloudHSM cluster, riceverai messaggi di errore che indicano che HSMs sono occupati o con limitazioni. In questo caso, è possibile che si verifichi una riduzione della velocità effettiva o un aumento del tasso di richieste di rifiuto da. HSMs Inoltre, HSMs può inviare i seguenti errori relativi alla modalità di utilizzo.
## Per Client SDK 5
+ In PKCS11, gli errori occupati vengono mappati a`CKR_FUNCTION_FAILED`. Questo errore può verificarsi per diversi motivi, ma se è la limitazione (della larghezza di banda della rete) HSM a causare questo errore, nel log verranno visualizzate le seguenti righe di log:
+ `[cloudhsm_provider::hsm1::hsm_connection::e2e_encryption::error] Failed to prepare E2E response. Error: Received error response code from Server. Response Code: 187`
+ `[cloudhsm_pkcs11::decryption::aes_gcm] Received error from the server. Error: This operation is already in progress. Internal error code: 0x000000BB`
+ In JCE, gli errori di congestione sono mappati in `com.amazonaws.cloudhsm.jce.jni.exception.InternalException: Unexpected error with the Provider: The HSM could not queue the request for processing.`
+ Altri errori SDKs «occupati» stampano il seguente messaggio:`Received error response code from Server. Response Code: 187`.
## Per Client SDK 3
+ In PKCS11, gli errori occupati vengono mappati agli `CKR_OPERATION_ACTIVE` errori.
+ In JCE, gli errori di congestione sono mappati in `CFM2Exception` con lo stato `0xBB (187)`. Le applicazioni possono utilizzare la funzione `getStatus()` su `CFM2Exception` per verificare quale stato restituisce l'HSM.
+ Gli altri SDKs errori relativi alla modalità di utilizzo stamperanno il seguente messaggio: `HSM Error: HSM is already busy generating the keys(or random bytes) for another request.`
## Risoluzione
È possibile risolvere questi problemi eseguendo una o più delle azioni a seguire:
+ Aggiungi i comandi di ripetizione dei tentativi per le operazioni HSM rifiutate a livello dell'applicazione. Prima di abilitare i comandi di ripetizione dei tentativi, assicurati che il cluster sia di dimensioni adeguate per soddisfare i picchi di carico.
**Nota**
Per Client SDK 5.8.0 e versioni successive, i comandi di ripetizione dei tentativi sono attivati per impostazione predefinita. Per i dettagli sulla configurazione del comando Nuovo tentativo di ciascun SDK, consulta la pagina [Configurazioni avanzate per lo strumento di configurazione del Client SDK 5](configure-sdk5-advanced-configs.md).
+ HSMs Aggiungine altri al tuo cluster seguendo le istruzioni riportate in[Scalabilità HSMs in un cluster AWS CloudHSM](add-remove-hsm.md).
**Importante**
Ti consigliamo di effettuare test di carico sul cluster per determinare il carico massimo da prevedere, quindi di aggiungere un altro modulo HSM per garantire un'elevata disponibilità.
# Mantieni sincronizzati gli utenti HSM HSMs all'interno del cluster AWS CloudHSM
Per [gestire gli utenti del tuo HSM, usi uno strumento da riga di comando noto come cloudhsm\$1mgmt\$1util](manage-hsm-users.md). AWS CloudHSM Comunica solo con quelli presenti nel file di configurazione dello strumento. HSMs Non è a conoscenza di altri componenti HSMs del cluster che non siano presenti nel file di configurazione.
AWS CloudHSM sincronizza le chiavi dell'utente HSMs tra tutte le altre HSMs del cluster, ma non sincronizza gli utenti o le policy dell'HSM. Quando utilizzi cloudhsm\$1mgmt\$1util per [gestire gli utenti HSM, queste modifiche utente potrebbero influire solo su alcuni dei cluster](manage-hsm-users.md), quelli che si trovano nel file di configurazione cloudhsm\$1mgmt\$1util. HSMs Ciò può causare problemi durante la AWS CloudHSM sincronizzazione delle chiavi nel cluster, perché gli utenti che possiedono le chiavi potrebbero non esistere su tutti i componenti del HSMs cluster. HSMs
Per evitare questi problemi, modifica il file di configurazione cloudhsm\$1mgmt\$1util *prima* di gestire gli utenti. Per ulteriori informazioni, consulta [Prerequisiti per la gestione degli utenti in Management Utility AWS CloudHSM](understand-users.md).
# Connessione persa al AWS CloudHSM cluster
Quando hai [configurato il AWS CloudHSM client](cmu-install-and-configure-client-linux.md#cmu-edit-client-configuration), hai fornito l'indirizzo IP del primo HSM del cluster. Questo indirizzo IP viene salvato nel file di configurazione del AWS CloudHSM client. Quando il client viene avviato, cerca di connettersi a questo indirizzo IP. Se non ci riesce, ad esempio perché l'HSM ha dato errore oppure lo hai eliminato, potrebbero essere visualizzati errori come il seguente:
```
LIQUIDSECURITY: Daemon socket connection error
```
```
LIQUIDSECURITY: Invalid Operation
```
Per risolvere tali errori, aggiorna il file di configurazione con l'indirizzo IP di un HSM attivo e raggiungibile nel cluster.
**Per aggiornare il file di configurazione per il AWS CloudHSM client**
1. Utilizzare uno dei seguenti modi per trovare l'indirizzo IP di un HSM attivo nel cluster.
+ Visualizza la **HSMs**scheda nella pagina dei dettagli del cluster nella [AWS CloudHSM console](https://console.aws.amazon.com/cloudhsm/home).
+ Usa il AWS Command Line Interface (AWS CLI) per emettere il [https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)comando.
Sarà necessario disporre di questo indirizzo IP in una fase successiva.
1. Utilizzare il seguente comando per arrestare il client.
------
#### [ Amazon Linux ]
```
$ sudo stop cloudhsm-client
```
------
#### [ Amazon Linux 2 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ CentOS 7 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ CentOS 8 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ RHEL 7 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ RHEL 8 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ Ubuntu 16.04 LTS ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ Ubuntu 18.04 LTS ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ Windows ]
+ Per client Windows dalla versione 1.1.2\$1:
```
C:\Program Files\Amazon\CloudHSM>net.exe stop AWSCloudHSMClient
```
+ Per client Windows 1.1.1 e versioni precedenti:
Usa **Ctrl** \$1 **C** nella finestra di comando in cui hai avviato il AWS CloudHSM client.
------
1. Utilizzare il comando seguente per aggiornare il file di configurazione del client, fornendo l'indirizzo IP indicato in una fase precedente.
```
$ sudo /opt/cloudhsm/bin/configure -a
```
1. Utilizzare il seguente comando per avviare il client .
------
#### [ Amazon Linux ]
```
$ sudo start cloudhsm-client
```
------
#### [ Amazon Linux 2 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ CentOS 7 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ CentOS 8 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ RHEL 7 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ RHEL 8 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Ubuntu 16.04 LTS ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Ubuntu 18.04 LTS ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Windows ]
+ Per client Windows dalla versione 1.1.2\$1:
```
C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient
```
+ Per client Windows 1.1.1 e versioni precedenti:
```
C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg
```
------
# Log AWS CloudHSM di controllo mancanti CloudWatch
Se hai creato un AWS CloudHSM cluster prima del 20 gennaio 2018, dovrai configurare manualmente un [ruolo collegato ai servizi](service-linked-roles.md) per consentire la consegna dei log di controllo di quel cluster. Per le istruzioni su come abilitare un ruolo legato al servizio su un cluster HSM, consulta la pagina relative alle [informazioni sui ruoli legati al servizio](service-linked-roles.md) e la pagina sulla [creazione di un ruolo legato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella Guida per l'utente IAM.
# Personalizzato IVs con lunghezza non conforme per il rivestimento delle chiavi AES AWS CloudHSM
Questo argomento sulla risoluzione dei problemi ti aiuta a determinare se l'applicazione genera chiavi con wrapping irrecuperabili. Se riscontri delle ripercussioni per via di questo problema, fai riferimento a questo argomento per risolverlo.
**Topics**
+ [Determina se il codice genera chiavi con wrapping irrecuperabili](#troubleshooting-problem1)
+ [Azioni da intraprendere se il codice genera chiavi con wrapping irrecuperabili](#troubleshooting-problem2)
## Determina se il codice genera chiavi con wrapping irrecuperabili
Il problema ha delle ripercussioni solo se riscontri *tutte* le condizioni seguenti:
****
| Condizione | Come saperlo |
| --- | --- |
| L'applicazione utilizza la libreria PKCS \$111 | La libreria PKCS \$111 viene installata come file `libpkcs11.so` nella cartella `/opt/cloudhsm/lib`. In genere, le applicazioni scritte in linguaggio C utilizzano direttamente la libreria PKCS \$111, mentre le applicazioni scritte in Java possono utilizzare la libreria indirettamente tramite un livello di astrazione Java. Se utilizzi Windows, il problema NON ti riguarda poiché la libreria PKCS \$111 non è attualmente disponibile per Windows. |
| L'applicazione utilizza nello specifico la versione 3.0.0 della libreria PKCS \$111 | Se hai ricevuto un'e-mail dal AWS CloudHSM team, probabilmente stai utilizzando la versione 3.0.0 della libreria PKCS \$111. Per verificare la versione del software sulle istanze dell'applicazione, utilizza questo comando: rpm -qa | grep ^cloudhsm
|
| Esegui il wrapping delle chiavi utilizzando il wrapping di chiavi AES | Per wrapping di chiavi AES si intende che l'uso di una chiave AES per eseguire il wrapping di un'altra chiave. Il nome del meccanismo corrispondente è `CKM_AES_KEY_WRAP`. Viene utilizzato con la funzione `C_WrapKey`. Altri meccanismi di wrapping basati su AES che utilizzano vettori di inizializzazione (IVs), come `CKM_AES_GCM` e` CKM_CLOUDHSM_AES_GCM`, non sono interessati da questo problema. [Scopri di più su funzioni e meccanismi](pkcs11-mechanisms.md). |
| Specifichi un IV personalizzato durante una chiamata al wrapping di chiavi AES e la lunghezza dell'IV è inferiore a 8 | Il wrapping di chiavi AES viene generalmente inizializzato utilizzando una struttura `CK_MECHANISM` come indicato di seguito: `CK_MECHANISM mech = {CKM_AES_KEY_WRAP, IV_POINTER, IV_LENGTH};` Questo problema ti riguarda solo se: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/troubleshooting-aes-keys.html) |
Se non riscontri tutte le condizioni di cui sopra, puoi smettere di leggere. È possibile rimuovere adeguatamente il wrapping dalle chiavi e questo problema non ha alcuna ripercussione. In caso contrario, consulta [Azioni da intraprendere se il codice genera chiavi con wrapping irrecuperabili](#troubleshooting-problem2).
## Azioni da intraprendere se il codice genera chiavi con wrapping irrecuperabili
È necessario eseguire i tre passaggi seguenti:
1. **Aggiorna immediatamente la libreria PKCS \$111 a una versione più recente**
+ [Libreria PKCS \$111 più recente per Amazon Linux, CentOS 6 e RHEL 6](client-upgrade.md)
+ [Libreria PKCS \$111 più recente per Amazon Linux 2, CentOS 7 e RHEL 7](client-upgrade.md)
+ [Libreria PKCS \$111 più recente per Ubuntu 16.04 LTS](client-upgrade.md)
1. **Aggiorna il software per utilizzare un IV conforme agli standard**
Si consiglia vivamente di seguire il codice di esempio fornito e di specificare semplicemente un IV NULL, che induce l'HSM a utilizzare l'IV predefinito conforme agli standard. In alternativa, puoi specificare esplicitamente l'IV come `0xA6A6A6A6A6A6A6A6` con una lunghezza IV corrispondente di `8`. Non è consigliabile utilizzare nessun altro IV per il wrapping delle chiavi AES e disabiliteremo esplicitamente la personalizzazione IVs per il wrapping delle chiavi AES in una versione futura della libreria PKCS \$111.
[Il codice di esempio per specificare correttamente l'IV viene visualizzato in aes\$1wrapping.c on.](https://github.com/aws-samples/aws-cloudhsm-pkcs11-examples/blob/master/src/wrapping/aes_wrapping.c#L72) GitHub
1. **Identifica e recupera le chiavi con wrapping esistenti**
[È necessario identificare tutte le chiavi inserite utilizzando la versione 3.0.0 della libreria PKCS \$111, quindi contattare il supporto tecnico per ricevere assistenza (/support) nel recupero di tali chiavi. https://aws.amazon.com](https://aws.amazon.com/support)
**Importante**
Questo problema riguarda solo le chiavi con wrapping con la versione 3.0.0 della libreria PKCS \$111. È possibile eseguire il wrapping delle chiavi utilizzando versioni precedenti (2.0.4 e pacchetti di numero inferiore) o versioni successive (3.0.1 e pacchetti di numero superiore) della libreria PKCS \$111.
# Risoluzione degli errori di creazione dei AWS CloudHSM cluster
Quando si crea un cluster, AWS CloudHSM crea il ruolo collegato al servizio AWSService RoleForCloud HSM, se il ruolo non esiste già. Se AWS CloudHSM non è possibile creare il ruolo collegato al servizio, il tentativo di creare un cluster potrebbe fallire.
Questo argomento spiega come risolvere i problemi più comuni per creare un cluster correttamente. Questo ruolo deve essere creato solo una volta. Dopo aver creato il ruolo legato al servizio nel tuo account, puoi utilizzare uno qualsiasi dei metodi supportati per creare e gestire ulteriori cluster.
Le sezioni che seguono propongono dei suggerimenti per risolvere i problemi di mancata creazione dei cluster correlati al ruolo legato al servizio. Se anche seguendo i suggerimenti non dovessi riuscire a creare un cluster, contatta [Supporto](https://aws.amazon.com/contact-us/). Per ulteriori informazioni sul ruolo collegato al servizio AWSService RoleForCloud HSM, vedere. [Ruoli collegati ai servizi per AWS CloudHSM](service-linked-roles.md)
**Topics**
+ [Aggiungere l'autorizzazione mancante](#missing-permission)
+ [Creare manualmente il ruolo legato al servizio](#api-call-failure)
+ [Utilizza un utente non federato](#non-federated-user)
## Aggiungere l'autorizzazione mancante
Per creare un ruolo legato al servizio, l'utente deve disporre dell'autorizzazione `iam:CreateServiceLinkedRole`. Se l'utente IAM che sta creando il cluster non dispone di questa autorizzazione, il processo di creazione del cluster fallisce quando tenta di creare il ruolo collegato al servizio nel tuo account. AWS
Quando la mancanza di un'autorizzazione determina un errore, il messaggio di errore ripoterà il seguente testo.
```
This operation requires that the caller have permission to call iam:CreateServiceLinkedRole to create the CloudHSM Service Linked Role.
```
Per risolvere l'errore, assegnare all'utente IAM che sta tentando di creare il cluster l'autorizzazione `AdministratorAccess` o aggiungere l'autorizzazione `iam:CreateServiceLinkedRole` alla policy IAM dell'utente. Per istruzioni, consulta [Aggiunta di autorizzazioni a un utente nuovo o esistente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#w2ab1c19c19c26b9).
Quindi tenta nuovamente di [creare il cluster](create-cluster.md).
## Creare manualmente il ruolo legato al servizio
Puoi utilizzare la console IAM, la CLI o l'API per creare il ruolo collegato al servizio AWSService RoleForCloud HSM. Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente IAM*.
## Utilizza un utente non federato
Gli utenti federati, le cui credenziali hanno origine esterna a AWS, possono eseguire molte delle attività di un utente non federato. Tuttavia, AWS non consente agli utenti di effettuare chiamate API per creare un ruolo legato al servizio da un endpoint federato.
Per risolvere questo problema, [crea un utente non federato](create-iam-user.md) con l'autorizzazione `iam:CreateServiceLinkedRole` oppure concedi a un utente non federato esistente l'autorizzazione `iam:CreateServiceLinkedRole`. Quindi invita l'utente a [creare un cluster](create-cluster.md) da AWS CLI. Questa operazione crea un ruolo collegato al servizio nel tuo account.
Una volta creato il ruolo collegato al servizio, se preferisci, puoi eliminare il cluster creato dall'utente non federato. L'eliminazione del cluster non ha effetti sul ruolo. Successivamente, qualsiasi utente con le autorizzazioni richieste, inclusi gli utenti federati, può creare cluster nel tuo account. AWS CloudHSM
**Per verificare che il ruolo sia stato creato, apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)e scegli Ruoli.** Altrimenti, utilizza il comando [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) in AWS CLI.
```
$ aws iam get-role --role-name AWSServiceRoleForCloudHSM
{
"Role": {
"Description": "Role for CloudHSM service operations",
role policy statement
"RoleId": "AROAJ4I6WN5QVGG5G7CBY",
"CreateDate": "2017-12-19T20:53:12Z",
"RoleName": "AWSServiceRoleForCloudHSM",
"Path": "/aws-service-role/cloudhsm.amazonaws.com/",
"Arn": "arn:aws:iam::111122223333:role/aws-service-role/cloudhsm.amazonaws.com/AWSServiceRoleForCloudHSM"
}
}
```
# Recupero dei log di configurazione AWS CloudHSM del client
AWS CloudHSM offre strumenti per Client SDK 3 e Client SDK 5 per raccogliere informazioni sull'ambiente in uso per consentire a AWS Support di risolvere i problemi.
**Topics**
+ [AWS CloudHSM Strumento di supporto Client SDK 5](support-tool-sdk5.md)
+ [AWS CloudHSM Strumento di supporto Client SDK 3](support-tool-sdk3.md)
# AWS CloudHSM Strumento di supporto Client SDK 5
Lo script per AWS CloudHSM Client SDK 5 estrae le seguenti informazioni:
+ File di configurazione per il componente Client SDK 5
+ File di log disponibili
+ Versione attuale del sistema operativo
+ Informazioni sul pacchetto
## Esecuzione dello strumento informativo per Client SDK 5
Client SDK 5 include uno strumento di supporto client per ciascun componente, ma tutti gli strumenti funzionano allo stesso modo. Esegui lo strumento per creare un file di output con tutte le informazioni raccolte.
Gli strumenti utilizzano una sintassi come questa:
```
[ pkcs11 | dyn | jce | ksp | cli]_info
```
Ad esempio, per raccogliere informazioni per il supporto da un host Linux che esegue la libreria PKCS \$111 e fare in modo che il sistema scriva nella directory predefinita, è necessario eseguire questo comando:
```
/opt/cloudhsm/bin/pkcs11_info
```
Lo strumento crea il file di output all'interno della directory `/tmp`.
------
#### [ AWS CloudHSM CLI ]
**Per raccogliere dati di supporto per la AWS CloudHSM CLI su Linux**
+ Utilizza lo strumento di supporto per raccogliere dati.
```
/opt/cloudhsm/bin/cli_info
```
**Per raccogliere dati di supporto per AWS CloudHSM Windows**
+ Utilizza lo strumento di supporto per raccogliere dati.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cli_info.exe"
```
------
#### [ PKCS \$111 library ]
**Come raccogliere dati di supporto per la libreria PKCS \$111 su Linux**
+ Utilizza lo strumento di supporto per raccogliere dati.
```
/opt/cloudhsm/bin/pkcs11_info
```
**Come raccogliere dati di supporto per la libreria PKCS \$111 su Windows**
+ Utilizza lo strumento di supporto per raccogliere dati.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\pkcs11_info.exe"
```
------
#### [ OpenSSL Dynamic Engine ]
**Come raccogliere dati di supporto per OpenSSL Dynamic Engine su Linux**
+ Utilizza lo strumento di supporto per raccogliere dati.
```
/opt/cloudhsm/bin/dyn_info
```
------
#### [ JCE provider ]
**Come raccogliere dati di supporto per il provider JCE su Linux**
+ Utilizza lo strumento di supporto per raccogliere dati.
```
/opt/cloudhsm/bin/jce_info
```
**Come raccogliere dati di supporto per il provider JCE su Windows**
+ Utilizza lo strumento di supporto per raccogliere dati.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\jce_info.exe"
```
------
#### [ Key Storage Provider ]
**Per raccogliere dati di supporto per Key Storage Provider su Windows**
+ Utilizza lo strumento di supporto per raccogliere dati.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\ksp_info.exe"
```
------
## Recupero dei log da un ambiente serverless
Per la configurazione per ambienti serverless, come Fargate o Lambda, ti consigliamo di configurare AWS CloudHSM il tipo di registro su. `term` Una volta configurato`term`, l'ambiente serverless sarà in grado di eseguire l'output su. CloudWatch
Per ottenere i log del client CloudWatch, consulta [Working with log groups and log stream](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) nella Amazon CloudWatch Logs User Guide.
# AWS CloudHSM Strumento di supporto Client SDK 3
Lo script per AWS CloudHSM Client SDK 3 estrae le seguenti informazioni:
+ Sistema operativo e la sua versione corrente
+ Informazioni sulla configurazione client dai file `cloudhsm_client.cfg`, `cloudhsm_mgmt_util.cfg` e `application.cfg`
+ Registri client dalla posizione specifica della piattaforma
+ Informazioni su cluster e HSM utilizzando cloudhsm\$1mgmt\$1util
+ Informazioni su OpenSSL
+ Versione corrente del client e della build
+ Versione del programma di installazione
## Esecuzione dello strumento informativo per Client SDK 3
Lo script crea un file di output con tutte le informazioni raccolte. Lo script crea il file di output all'interno della directory `/tmp`.
**Linux**: `/opt/cloudhsm/bin/client_info`
**Windows**: `C:\Program Files\Amazon\CloudHSM\client_info`
**avvertimento**
Questo script presenta un problema noto per le versioni di Client SDK 3 da 3.1.0 a 3.3.1. Si consiglia vivamente di eseguire l'aggiornamento alla versione 3.3.2, che include una correzione per questo problema. Per ulteriori informazioni, consulta la pagina [Problemi noti](https://docs.aws.amazon.com/cloudhsm/latest/userguide/ki-all.html#ki-all-9) prima di utilizzare questo strumento.