AWS CloudHSM hsm2m.medium 인스턴스의 알려진 문제

영향: hsm2m.medium은 최신 FIPS 140-3 레벨 3 요구 사항을 준수합니다. hsm2m.medium에 로그인하면 보안 및 규정 준수 요구 사항이 향상되어 지연 시간이 증가합니다.

해결 방법: 가능하면 동일한 애플리케이션에서 로그인 요청을 직렬화하여 로그인 중에 지연 시간이 길어지지 않도록 합니다. 동시에 여러 로그인 요청을 수행하면 지연 시간이 늘어납니다.

영향: hsm2m.medium HSM 인스턴스는 hsm1.medium보다 더 일관된 예측 가능 성능을 제공하는 공정 공유 아키텍처를 개선했습니다. 고객이 hsm1.medium을 사용하면 HSM 리소스의 불규칙한 사용으로 인해 키 찾기 성능이 향상될 수 있습니다. 그러나 HSM 인스턴스가 패치되거나 새 펌웨어로 업데이트되면 hsm1.medium 찾기 키 성능이 저하됩니다. 이 문제는 JCE에서 KeyStore.getKey()와 같은 작업에 영향을 미칩니다.

해결 방법: HSM 펌웨어를 개선하기 위해 노력하고 있습니다. 키 찾기 작업의 결과를 캐싱하는 것이 좋습니다. 캐싱은 HSM에서 리소스 집약적인 작업이므로 총 찾기 키 작업 수를 줄여줍니다. 또한 지수 백오프 및 지터를 사용하여 클라이언트 측 재시도를 구현함으로써 HSM 스로틀링 실패를 줄입니다.

영향: 키의 신뢰할 수 있는 속성을 설정하려고 시도하는 모든 CO 사용자는 User type should be CO or CU라는 오류를 받게 됩니다.

해결 방법: 클라이언트 SDK의 향후 버전에서 이 문제를 해결합니다. 업데이트는 사용 설명서의 문서 기록에 공지됩니다.

영향: FIPS 모드에서 HSM에 대해 수행된 ECDSA 확인 작업이 실패합니다.

해결 상태: 이 문제는 클라이언트 SDK 5.13.0 릴리스에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트 버전 이상으로 업그레이드해야 합니다.

영향: DER 형식의 인증서는 CloudHSM CLI에서 mTLS 트러스트 앵커로 등록할 수 없습니다.

해결 방법: openssl 명령 openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem을 사용하여 DER 형식의 인증서를 PEM 형식으로 변환할 수 있습니다.

영향: 애플리케이션에서 수행하는 모든 작업이 중지되고, 애플리케이션 수명 동안 여러 차례 표준 입력에 암호를 입력하라는 메시지가 사용자에게 표시됩니다. 작업의 제한 시간 내에 암호가 제공되지 않으면 작업이 시간 초과되고 실패합니다.

해결 방법: 프라이빗 키로 암호화된 암호는 mTLS에서 지원되지 않습니다. 클라이언트 프라이빗 키에서 암호의 암호화 제거

영향: CloudHSM CLI를 사용할 때 hsm2m.medium 인스턴스에서 사용자 복제가 실패합니다. user replicate 명령은 hsm1.medium 인스턴스에서 예상대로 작동합니다.

해결 방법: 이 문제를 해결하기 위해 노력하고 있습니다. 업데이트는 사용 설명서의 문서 기록 섹션을 참조하세요.

영향: AWS CloudHSM에서 백업을 생성하는 동안 hsm2m.medium 인스턴스에서 난수 생성과 같은 작업이 실패할 수 있습니다.

해결 방법: 서비스 중단을 최소화하려면 다음 모범 사례를 구현합니다.

모범 사례에 대한 자세한 내용은 의 모범 사례AWS CloudHSM을(를) 참조하세요.

영향: 클라이언트 SDK 5.8 이상은 HSM의 일부 스로틀링된 작업을 재시도하지 않습니다.

해결 방법: 로드 처리 및 애플리케이션 수준 재시도 구현을 위해 모범 사례에 따라 클러스터를 설계합니다. 현재 문제를 수정하고 있습니다. 업데이트는 사용 설명서의 문서 기록에 공지됩니다.

해결 상태: 이 문제는 AWS CloudHSM 클라이언트 SDK 5.16.2에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트 버전 이상으로 업그레이드해야 합니다.