hsm2m.medium AWS CloudHSM インスタンスの既知の問題

影響: hsm2m.medium にログインすると、コンプライアンス要件が過度に厳密に解釈されるため、レイテンシーが増加します。

解決策: 2025 年 12 月 20 日より前に新しい hsm2m.medium インスタンスを作成した場合、または hsm1.medium から hsm2m.medium に移行した場合は、パスワードをリセットして、ログインオペレーション用に実装されたパフォーマンスの向上を活用する必要があります。手順については、変更パスワードを参照してください。

影響: hsm2m.medium の HSM インスタンスは、hsm1.medium と比較して、より一貫性のある予測可能なパフォーマンスを提供する改良されたフェアシェアアーキテクチャを備えています。一方、hsm1.medium では、HSM リソースの不規則な使用により find key の処理が高速に見える場合があります。しかし、hsm1.medium の find key パフォーマンスは、HSM インスタンスがパッチ適用または新しいファームウェアに更新されると低下します。この問題は、JCE の KeyStore.getKey() などのオペレーションに影響します。

解決策: この問題は解決されました。ベストプラクティスとして、find key オペレーションの結果をキャッシュしてください。find key は HSM 内でリソース集約的なオペレーションであるため、キャッシュにより実行回数を減らすことができます。さらに、エクスポネンシャルバックオフとジッターを用いたクライアント側のリトライを実装し、HSM のスロットリング失敗を減らしてください。

影響: キーの信頼された属性を設定しようとする CO ユーザーは、そのことを示すエラーを受け取りますUser type should be CO or CU。

解決策: クライアント SDK の将来のバージョンでは、この問題が解決されます。更新については、ユーザーガイドの「ドキュメント履歴」で発表されます。

影響: FIPS モードで HSM に対して実行される ECDSA 検証オペレーションが失敗します。

解決策の現状: この問題は、クライアント SDK 5.13.0 のリリースによって解決されています。この修正のメリットを享受するには、このクライアント バージョン以降にアップグレードする必要があります。

影響: DER 形式の証明書は、CloudHSM CLI で mTLS トラストアンカーとして登録できません。

回避策: openssl コマンドを使用して、DER 形式の証明書を PEM 形式に変換できます。 openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem

影響: アプリケーションが実行するすべてのオペレーションが停止し、アプリケーションの実行中にユーザーへ標準入力でパスフレーズの入力を複数回要求されます。パスフレーズがオペレーションのタイムアウト前に入力されない場合、その操作はタイムアウトし、失敗します。

回避策: mTLS ではパスフレーズで暗号化されたプライベートキーはサポートされていません。クライアントプライベートキーからパスフレーズ暗号化を削除してください。

影響: CloudHSM CLI を使用した場合、hsm2m.medium インスタンスではユーザーレプリケートが失敗します。user replicate コマンドは hsm1.medium インスタンスでは正常に動作します。

解決策: この問題は解決されました。

影響: AWS CloudHSM がバックアップを作成している間、hsm2m.medium インスタンスでは、乱数生成などのオペレーションが失敗する可能性があります。

解決策: サービス中断を最小限に抑えるため、以下のベストプラクティスを実装してください。

ベストプラクティスの詳細については、「のベストプラクティス AWS CloudHSM」を参照してください。

影響: クライアント SDK 5.8 以降では、特定の HSM スロットルオペレーションが自動的にリトライされません

回避策: 負荷に耐えられるようクラスターを設計し、アプリケーション側でリトライ処理を実装するというベストプラクティスに従ってください。現在、この問題の修正に取り組んでいます。更新については、ユーザーガイドの「ドキュメント履歴」で発表されます。

解決ステータス: この問題は AWS CloudHSM クライアント SDK 5.16.2 で解決されています。この修正のメリットを享受するには、このクライアント バージョン以降にアップグレードする必要があります。

影響: AWS CloudHSM JCE プロバイダーを使用してキーをラップ解除するために AES/CBC メカニズムを使用する場合、hsm1.medium インスタンスにない検証チェックが追加されているため、16 バイトのゼロフィル IV を使用したオペレーションは hsm2m.medium インスタンスで失敗します。

解決ステータス: AES/CBC ラップ解除オペレーション中にゼロバイト IVs を受け入れることができる修正に取り組んでいます。

影響: この問題は、クライアントアプリケーションのデプロイや再起動などのコールドスタートに影響します。hsm2m.medium HSM インスタンスは、公平配分アーキテクチャを改善し、すべてのお客様に一貫したパフォーマンス、スループット、レイテンシーを実現します。現在、hsm1.medium では、HSM 接続の同時初期化で意図したよりも高いパフォーマンスが見られる場合があります。ただし、hsm1.medium 接続の初期化パフォーマンスは、基盤となるシステム更新によって異なります。

解決策: ベストプラクティスに従い、クライアントアプリケーションのデプロイと再起動をずらして、HSM 接続を同時に初期化するクライアントアプリケーションの量を制限します。また、クライアントアプリケーションの初期化のためにアプリケーションレベルの再試行を実装することをお勧めします。さらに、 で設定ツールを使用してブートストラップ--cluster-id <cluster ID>し、すべての HSM IP をクライアント設定ファイルに追加します。