hsm2m.medium AWS CloudHSM インスタンスの既知の問題 - AWS CloudHSM
問題: hsm2m.medium でのログインレイテンシーの増加問題: hsm2m.medium での検索キーのレイテンシーの増加問題: キーの信頼された属性を設定しようとする CO は、クライアント SDK 5.12.0 以前では失敗します。問題: ECDSA 検証は、FIPS モードでクラスターのクライアント SDK 5.12.0 以前では失敗します問題: PEM 形式の証明書のみが CloudHSM CLI で mtls トラストアンカーとして登録できます問題: パスフレーズで保護されたクライアントプライベートキーで mTLS を使用すると、お客様のアプリケーションはすべてのリクエストの処理を停止します。問題: CloudHSM CLI の使用時にユーザーレプリケートが失敗する問題: バックアップの作成中にオペレーションが失敗する可能性がある問題: クライアント SDK 5.8 以降では、hsm2m.medium のシナリオによっては HSM スロットリングオペレーションの自動再試行が実行されない

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

hsm2m.medium AWS CloudHSM インスタンスの既知の問題

以下の問題は、すべての AWS CloudHSM hsm2m.medium インスタンスに影響します。

問題: hsm2m.medium でのログインレイテンシーの増加

  • 影響: hsm2m.medium は最新の FIPS 140-3 レベル 3 要件に準拠しています。hsm2m.medium にログインすると、セキュリティとコンプライアンスの要件が強化され、レイテンシーが増加します。

  • 回避策: 可能であれば、ログイン中にレイテンシーが長くなるのを避けるため、同じアプリケーションにおいてログインリクエストをシリアル化します。複数のログインリクエストが並行に実行されると、レイテンシーが増加します。

問題: hsm2m.medium での検索キーのレイテンシーの増加

  • 影響: hsm2m.medium HSM インスタンスは公平配分アーキテクチャを改善し、hsm1.medium と比較してより一貫した予測可能なパフォーマンスを実現しました。hsm1.medium では、HSM リソースの不規則な使用により、検索キーのパフォーマンスが高くなることがあります。ただし、HSM インスタンスにパッチが適用されたり、新しいファームウェアで更新したりすると、hsm1.medium 検索キーのパフォーマンスが低下します。この問題は、JCE の などのオペレーションに影響KeyStore.getKey()します。

  • 回避策: HSM ファームウェアの改善に取り組んでいます。ベストプラクティスとして、検索キーオペレーションの結果をキャッシュします。キャッシュは HSM のリソース集約型オペレーションであるため、検索キーオペレーションの総数が減少します。さらに、エクスポネンシャルバックオフとジッターを使用してクライアント側の再試行を実装し、HSM スロットリングの失敗を減らします。

問題: キーの信頼された属性を設定しようとする CO は、クライアント SDK 5.12.0 以前では失敗します。

  • 影響: キーの信頼された属性を設定しようとする CO ユーザーは、そのことを示すエラーを受け取りますUser type should be CO or CU

  • 解決策: クライアント SDK の将来のバージョンでは、この問題が解決されます。更新については、ユーザーガイドの「ドキュメント履歴」で発表されます。

問題: ECDSA 検証は、FIPS モードでクラスターのクライアント SDK 5.12.0 以前では失敗します

  • 影響: FIPS モードで HSMs に対して実行される ECDSA 検証オペレーションは失敗します。

  • 解決策の現状: この問題は、クライアント SDK 5.13.0 のリリースによって解決されています。この修正のメリットを享受するには、このクライアント バージョン以降にアップグレードする必要があります。

問題: PEM 形式の証明書のみが CloudHSM CLI で mtls トラストアンカーとして登録できます

  • 影響: DER 形式の証明書は、CloudHSM CLI で mTLS トラストアンカーとして登録できません。

  • 回避策: openssl コマンドを使用して、DER 形式の証明書を PEM 形式に変換できます。 openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem

問題: パスフレーズで保護されたクライアントプライベートキーで mTLS を使用すると、お客様のアプリケーションはすべてのリクエストの処理を停止します。

  • 影響: アプリケーションによって実行されるすべてのオペレーションは停止され、ユーザーはアプリケーションの存続期間中、標準入力のパスフレーズを複数回要求されます。オペレーションのタイムアウト時間より前にパスフレーズが指定されていない場合、オペレーションはタイムアウトし、失敗します。

  • 回避策: パスフレーズで暗号化されたプライベートキーは、mTLS ではサポートされていません。クライアントプライベートキーからパスフレーズ暗号化を削除する

問題: CloudHSM CLI の使用時にユーザーレプリケートが失敗する

  • 影響: CloudHSM CLI を使用すると、hsm2m.medium インスタンスでユーザーレプリケーションが失敗します。user replicate コマンドは hsm1.medium インスタンスで想定どおりに動作します。

  • 解決策: この問題の解決に取り組んでいます。更新については、 ユーザーガイドドキュメント履歴の「」を参照してください。

問題: バックアップの作成中にオペレーションが失敗する可能性がある

  • 影響: AWS CloudHSM がバックアップを作成する間、乱数の生成などの操作は hsm2m.medium インスタンスで失敗する可能性があります。

  • 解決策: サービスの中断を最小限に抑えるには、次のベストプラクティスを実装します。

    • マルチ HSM クラスターを作成する

    • クラスターオペレーションを再試行するようにアプリケーションを設定する

    ベストプラクティスの詳細については、「のベストプラクティス AWS CloudHSM」を参照してください。

問題: クライアント SDK 5.8 以降では、hsm2m.medium のシナリオによっては HSM スロットリングオペレーションの自動再試行が実行されない

  • 影響: クライアント SDK 5.8 以降では、一部の HSM スロットリングオペレーションは再試行されません

  • 回避策: ベストプラクティスに従ってクラスターを設計し、ロードを処理し、アプリケーションレベルの再試行を実装します。現在、修正に取り組んでいます。更新については、ユーザーガイドの「ドキュメント履歴」で発表されます。

  • 解決ステータス: この問題は AWS CloudHSM クライアント SDK 5.16.2 で解決されています。この修正のメリットを享受するには、このクライアント バージョン以降にアップグレードする必要があります。