AWS CloudHSM sincronização de clusters

Em um AWS CloudHSM cluster, AWS CloudHSM mantém as chaves dos HSMs individuais sincronizadas. Você não precisa fazer nada para sincronizar as chaves nos HSMs. Ao contrário das chaves, não há nenhum mecanismo do lado do servidor para sincronizar os usuários do HSM em todo o cluster. A AWS CloudHSM CLI executa a melhor sincronização das operações do usuário nos HSMs, mas podem ocorrer inconsistências se uma operação falhar parcialmente. Se os usuários ficarem fora de sincronia, o user list comando mostrará inconsistências. Para obter mais informações, consulte O usuário ou a política do SDK 5 do cliente contém valores inconsistentes.

Quando você adiciona um novo HSM a um cluster, AWS CloudHSM faz um backup de todas as chaves, usuários e políticas em um HSM existente. Depois, restaura esse backup no novo HSM. Isso mantém os dois HSMs em sincronia.

Se as chaves dos HSMs em um cluster ficarem fora de sincronização, elas AWS CloudHSM serão ressincronizadas automaticamente. Para habilitar isso, AWS CloudHSM usa as credenciais do usuário do equipamento. Esse usuário existe em todos os HSMs fornecidos por AWS CloudHSM e tem permissões limitadas. Ele pode obter um hash de objetos no HSM e extrair e inserir objetos mascarados (criptografados). O AWS não consegue visualizar nem modificar os usuários ou as chaves, além de não poder executar qualquer operação criptográfica usando essas chaves.

Essa ressincronização automática se aplica somente às chaves. Usuários e políticas (como configurações de mTLS) não são ressincronizados automaticamente. A CLI do CloudHSM executa a melhor sincronização das operações de usuários e políticas nos HSMs, mas ainda podem ocorrer inconsistências e talvez você precise resolvê-las manualmente. Para obter mais informações, consulte O usuário ou a política do SDK 5 do cliente contém valores inconsistentes.