AWS CloudHSM hsm2m.medium 인스턴스에 대해 알려진 문제

영향: hsm2m.medium에 로그인하면 규정 준수 요구 사항을 지나치게 엄격하게 해석하여 지연 시간이 늘어납니다.

해결 방법: 2025년 12월 20일 이전에 새 hsm2m.medium 인스턴스를 생성했거나 hsm1.medium에서 hsm2m.medium으로 마이그레이션한 경우 로그인 작업에 구현한 성능 개선을 활용하려면 암호를 재설정해야 합니다. 지침은 change-password를 참조하세요.

영향: hsm2m.medium HSM 인스턴스는 hsm1.medium보다 더 일관된 예측 가능 성능을 제공하는 공정 공유 아키텍처를 개선했습니다. 고객이 hsm1.medium을 사용하면 HSM 리소스의 불규칙한 사용으로 인해 키 찾기 성능이 향상될 수 있습니다. 그러나 HSM 인스턴스가 패치되거나 새 펌웨어로 업데이트되면 hsm1.medium 찾기 키 성능이 저하됩니다. 이 문제는 JCE에서 KeyStore.getKey()와 같은 작업에 영향을 미칩니다.

해결 방법: 이 문제가 해결되었습니다. 키 찾기 작업의 결과를 캐싱하는 것이 좋습니다. 캐싱은 HSM에서 리소스 집약적인 작업이므로 총 찾기 키 작업 수를 줄여줍니다. 또한 지수 백오프 및 지터를 사용하여 클라이언트 측 재시도를 구현함으로써 HSM 스로틀링 실패를 줄입니다.

영향: 키의 신뢰할 수 있는 속성을 설정하려고 시도하는 모든 CO 사용자는 User type should be CO or CU라는 오류를 받게 됩니다.

해결 방법: 클라이언트 SDK의 향후 버전에서 이 문제를 해결합니다. 업데이트는 사용 설명서의 문서 기록에 공지됩니다.

영향: FIPS 모드에서 HSM에 대해 수행된 ECDSA 확인 작업이 실패합니다.

해결 상태: 이 문제는 클라이언트 SDK 5.13.0 릴리스에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트 버전 이상으로 업그레이드해야 합니다.

영향: DER 형식의 인증서는 CloudHSM CLI에서 mTLS 트러스트 앵커로 등록할 수 없습니다.

해결 방법: openssl 명령 openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem을 사용하여 DER 형식의 인증서를 PEM 형식으로 변환할 수 있습니다.

영향: 애플리케이션에서 수행하는 모든 작업이 중지되고, 애플리케이션 수명 동안 여러 차례 표준 입력에 암호를 입력하라는 메시지가 사용자에게 표시됩니다. 작업의 제한 시간 내에 암호가 제공되지 않으면 작업이 시간 초과되고 실패합니다.

해결 방법: 프라이빗 키로 암호화된 암호는 mTLS에서 지원되지 않습니다. 클라이언트 프라이빗 키에서 암호의 암호화 제거

영향: CloudHSM CLI를 사용할 때 hsm2m.medium 인스턴스에서 사용자 복제가 실패합니다. user replicate 명령은 hsm1.medium 인스턴스에서 예상대로 작동합니다.

해결 방법: 이 문제가 해결되었습니다.

영향: AWS CloudHSM에서 백업을 생성하는 동안 hsm2m.medium 인스턴스에서 난수 생성과 같은 작업이 실패할 수 있습니다.

해결 방법: 서비스 중단을 최소화하려면 다음 모범 사례를 구현합니다.

모범 사례에 대한 자세한 내용은 의 모범 사례 AWS CloudHSM을(를) 참조하세요.

영향: 클라이언트 SDK 5.8 이상은 HSM의 일부 스로틀링된 작업을 재시도하지 않습니다.

해결 방법: 로드 처리 및 애플리케이션 수준 재시도 구현을 위해 모범 사례에 따라 클러스터를 설계합니다. 현재 문제를 수정하고 있습니다. 업데이트는 사용 설명서의 문서 기록에 공지됩니다.

해결 상태:이 문제는 AWS CloudHSM 클라이언트 SDK 5.16.2에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트 버전 이상으로 업그레이드해야 합니다.

영향: AWS CloudHSM JCE 공급자를 사용하여 키를 언래핑하기 위해 AES/CBC 메커니즘을 사용하는 경우 hsm1.medium 인스턴스에 없는 추가 검증 검사로 인해 16바이트 제로 채우기 IV가 있는 작업은 hsm2m.medium 인스턴스에서 실패합니다.

해결 상태: AES/CBC 언래핑 작업 중에 0바이트 IVs 수락할 수 있는 수정 작업을 하고 있습니다.

영향: 이 문제는 클라이언트 애플리케이션 배포 또는 재시작과 같은 콜드 스타트에 영향을 미칩니다. hsm2m.medium HSM 인스턴스는 공정 공유 아키텍처를 개선하여 모든 고객에게 보다 일관된 성능, 처리량 및 지연 시간을 보장합니다. 현재 hsm1.medium에서는 동시 HSM 연결 초기화에 대해 의도한 것보다 높은 성능을 관찰할 수 있습니다. 그러나 hsm1.medium 연결 초기화 성능은 기본 시스템 업데이트에 따라 달라집니다.

해결 방법: 모범 사례를 따르고 클라이언트 애플리케이션 배포 및 재시작을 시차를 두고 HSM 연결을 동시에 초기화하는 클라이언트 애플리케이션의 양을 제한합니다. 또한 클라이언트 애플리케이션 초기화를 위해 애플리케이션 수준 재시도를 구현하는 것이 좋습니다. 또한에서 구성 도구를 사용하여 부트스트랩--cluster-id <cluster ID>하여 모든 HSM IP를 클라이언트 구성 파일에 추가합니다. 이 동작은 AWS CloudHSM Client SDK 버전 5.17.1 이상에서 개선되었습니다. 이러한 개선의 이점을 활용하려면 최신 SDK 버전으로 업그레이드하는 것이 좋습니다.