AWS CloudHSM クライアント SDK 3 キー同期の失敗

クライアント SDK 3 では、クライアント側の同期が失敗した場合、AWS CloudHSM は作成された（現在は不要な）不要なキーをクリーンアップするために、ベストエフォートなレスポンスを行います。このプロセスでは、不要なキーマテリアルを直ちに除去すること、あるいは後で除去するために不要な材料をマーキングすることを含んでいます。どちらの場合も、解決するためにはお客様からのアクションは必要ありません。まれに、AWS CloudHSM は不要なキーマテリアルを削除できず、さらに マークも付けられない場合があります。

問題: トークンキーの生成、インポート、またはアンラップ操作を試行し、tombstone への失敗を指定するエラーが表示される。

2018-12-24T18:28:54Z liquidSecurity ERR: print_node_ts_status:
[create_object_min_nodes]Key: 264617 failed to tombstone on node:1

原因: AWS CloudHSM は不要なキーマテリアルの削除 および マーキングに失敗しました。

解決方法: クラスター内の HSM には、不要とマークされていない不要なキーマテリアルが含まれています。キーマテリアルを手動で削除する必要があります。不要なキーマテリアルを手動で削除するには、[key_mgmt_util (KMU)]、または[PKCS #11] あるいは JCE プロバイダーからの API を使用します。詳細については、deleteKey または クライアント SDK を参照してください。

トークンキーの耐久性を向上させるには、AWS CloudHSM は、クライアント側の同期設定で指定された HSM の最小数では成功しないキー作成操作を失敗します。詳細については、Key Synchronization in AWS CloudHSM を参照してください。