AWS CloudHSM hsm2m.medium インスタンスの既知の問題 - AWS CloudHSM
問題: hsm2m.medium でログイン遅延が増加する問題: hsm2m.medium で find key の遅延が増加する問題: キーの信頼された属性を設定しようとする CO は、クライアント SDK 5.12.0 以前では失敗します。問題: ECDSA 検証は、FIPS モードでクラスターのクライアント SDK 5.12.0 以前では失敗します問題: PEM 形式の証明書のみが CloudHSM CLI で mtls トラストアンカーとして登録できます問題: パスフレーズで保護されたクライアントプライベートキーを使用して mTLS を利用すると、アプリケーションがすべてのリクエスト処理を停止します。問題: CloudHSM CLI を使用するとユーザーのレプリケートが失敗する問題: バックアップの作成中にオペレーションが失敗することがある問題: hsm2m.medium の一部のシナリオで、クライアント SDK 5.8 以降が HSM のスロットルされたオペレーションに対して自動リトライを実行しない

AWS CloudHSM hsm2m.medium インスタンスの既知の問題

以下の問題は、すべての AWS CloudHSM hsm2m.medium インスタンスに影響します。

問題: hsm2m.medium でログイン遅延が増加する

  • 影響: hsm2m.medium は、最新の FIPS 140-3 Level 3 要件に準拠しています。このため、hsm2m.medium へのログインでは、強化されたセキュリティおよびコンプライアンス要件に従う必要があり、その結果として遅延が増加します。

  • 回避策: 可能であれば、ログイン中にレイテンシーが長くなるのを避けるため、同じアプリケーションにおいてログインリクエストをシリアル化します。複数のログインリクエストが並行に実行されると、レイテンシーが増加します。

問題: hsm2m.medium で find key の遅延が増加する

  • 影響: hsm2m.medium の HSM インスタンスは、hsm1.medium と比較して、より一貫性のある予測可能なパフォーマンスを提供する改良されたフェアシェアアーキテクチャを備えています。一方、hsm1.medium では、HSM リソースの不規則な使用により find key の処理が高速に見える場合があります。しかし、hsm1.medium の find key パフォーマンスは、HSM インスタンスがパッチ適用または新しいファームウェアに更新されると低下します。この問題は、JCE の KeyStore.getKey() などのオペレーションに影響します。

  • 回避策: 現在、HSM ファームウェアの改善に取り組んでいます。ベストプラクティスとして、find key オペレーションの結果をキャッシュしてください。find key は HSM 内でリソース集約的なオペレーションであるため、キャッシュにより実行回数を減らすことができます。さらに、エクスポネンシャルバックオフとジッターを用いたクライアント側のリトライを実装し、HSM のスロットリング失敗を減らしてください。

問題: キーの信頼された属性を設定しようとする CO は、クライアント SDK 5.12.0 以前では失敗します。

  • 影響: キーの信頼された属性を設定しようとする CO ユーザーは、そのことを示すエラーを受け取りますUser type should be CO or CU

  • 解決策: クライアント SDK の将来のバージョンでは、この問題が解決されます。更新については、ユーザーガイドの「ドキュメント履歴」で発表されます。

問題: ECDSA 検証は、FIPS モードでクラスターのクライアント SDK 5.12.0 以前では失敗します

  • 影響: FIPS モードで HSM に対して実行される ECDSA 検証オペレーションが失敗します。

  • 解決策の現状: この問題は、クライアント SDK 5.13.0 のリリースによって解決されています。この修正のメリットを享受するには、このクライアント バージョン以降にアップグレードする必要があります。

問題: PEM 形式の証明書のみが CloudHSM CLI で mtls トラストアンカーとして登録できます

  • 影響: DER 形式の証明書は、CloudHSM CLI で mTLS トラストアンカーとして登録できません。

  • 回避策: openssl コマンドを使用して、DER 形式の証明書を PEM 形式に変換できます。 openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem

問題: パスフレーズで保護されたクライアントプライベートキーを使用して mTLS を利用すると、アプリケーションがすべてのリクエスト処理を停止します。

  • 影響: アプリケーションが実行するすべてのオペレーションが停止し、アプリケーションの実行中にユーザーへ標準入力でパスフレーズの入力を複数回要求されます。パスフレーズがオペレーションのタイムアウト前に入力されない場合、その操作はタイムアウトし、失敗します。

  • 回避策: mTLS ではパスフレーズで暗号化されたプライベートキーはサポートされていません。クライアントプライベートキーからパスフレーズ暗号化を削除してください。

問題: CloudHSM CLI を使用するとユーザーのレプリケートが失敗する

  • 影響: CloudHSM CLI を使用した場合、hsm2m.medium インスタンスではユーザーレプリケートが失敗します。user replicate コマンドは hsm1.medium インスタンスでは正常に動作します。

  • 解決策: 現在、この問題の解決に取り組んでいます。最新情報については、ユーザーガイドの ドキュメント履歴 を参照してください。

問題: バックアップの作成中にオペレーションが失敗することがある

  • 影響: AWS CloudHSM がバックアップを作成している間、hsm2m.medium インスタンスでは、乱数生成などのオペレーションが失敗する可能性があります。

  • 解決策: サービス中断を最小限に抑えるため、以下のベストプラクティスを実装してください。

    • 複数の HSM からなるクラスターを作成する

    • アプリケーション側でクラスターオペレーションのリトライを実装する

    ベストプラクティスの詳細については、「 のベストプラクティスAWS CloudHSM」を参照してください。

問題: hsm2m.medium の一部のシナリオで、クライアント SDK 5.8 以降が HSM のスロットルされたオペレーションに対して自動リトライを実行しない

  • 影響: クライアント SDK 5.8 以降では、特定の HSM スロットルオペレーションが自動的にリトライされません

  • 回避策: 負荷に耐えられるようクラスターを設計し、アプリケーション側でリトライ処理を実装するというベストプラクティスに従ってください。現在、この問題の修正に取り組んでいます。更新については、ユーザーガイドの「ドキュメント履歴」で発表されます。

  • 解決策の現状: この問題は、AWS CloudHSM クライアント SDK 5.16.2 で解決されています。この修正のメリットを享受するには、このクライアント バージョン以降にアップグレードする必要があります。