Migrar de hsm1.medium para hsm2m.medium - AWS CloudHSM
Visão geralPré-requisitosModo de gravação limitada no clusterIniciar a migraçãoReverter a migraçãoSincronizar dados após uma reversão

Migrar de hsm1.medium para hsm2m.medium

Você pode atualizar seu cluster do AWS CloudHSM de hsm1.medium para hsm2m.medium. Este tópico descreve os pré-requisitos, o processo de migração e os procedimentos de reversão.

Antes de iniciar a migração, certifique-se de que sua aplicação siga as recomendações em Arquitete seu cluster para alta disponibilidade. Isso ajuda a evitar o tempo de inatividade durante o processo.

Visão geral do processo de migração de hsm1.medium para hsm2m.medium

Você pode iniciar a migração usando o Console do AWS CloudHSM, a AWS CLI ou a API do AWS CloudHSM. Não importa onde você a inicie, a migração do cluster do AWS CloudHSM usa o endpoint modify-cluster da API. Quando a migração começa, todo o cluster entra em um modo de gravação limitada. Para obter mais informações, consulte Modo de gravação limitada de cluster.

Para minimizar o impacto, o AWS CloudHSM altera os HSMs de hsm1.medium para hsm2m.medium, um por vez. Os HSMs substitutos mantêm os mesmos endereços IP, portanto, não exigem alterações na configuração durante ou após a migração.

Como funciona a migração:

  1. Antes de migrar o primeiro HSM, o AWS CloudHSM cria um backup completo de todo o cluster.

  2. Usando esse backup, o AWS CloudHSM cria um novo HSM do tipo solicitado (hsm2m.medium) para substituir o primeiro HSM.

  3. Antes de migrar cada HSM subsequente, o AWS CloudHSM cria um backup completo de todo o cluster.

  4. O AWS CloudHSM repete as etapas 3 e 4 para cada HSM no cluster, migrando um HSM por vez.

  5. Cada migração individual de HSM leva aproximadamente 30 minutos.

O AWS CloudHSM monitora a integridade do cluster e realiza validações em todo o processo de migração. Se o AWS CloudHSM detectar um aumento nos erros ou uma verificação de validação falhar, ela interromperá automaticamente a migração e reverterá o cluster para seu tipo de HSM original. Você também pode reverter manualmente por até 24 horas após o início da migração. Antes de reverter, consulte Considerações sobre a reversão do tipo de HSM.

Pré-requisitos para migrar para hsm2m.medium

Seu cluster do AWS CloudHSM existente deve atender a esses requisitos para migrar para hsm2m.medium. Se alguma condição não for atendida durante as verificações de validação, o AWS CloudHSM reverte automaticamente o cluster para seu tipo de HSM original.

Para obter uma lista de problemas de migração conhecidos, consulte Problemas conhecidos da modificação de cluster do AWS CloudHSM

  • Nos últimos 7 dias:

    • Todas as conexões de clientes usaram o SDK 5.9 ou superior.

      • Ao executar o ECDSA Verify, todas as conexões do cliente usaram o SDK 5.13 ou superior.

    • As instâncias do AWS CloudHSM usaram apenas funcionalidades suportadas (e nenhuma das obsoletas). Consulte Notificações de suspensão de uso para obter mais detalhes.

    • Você deve ter usado um SDK para se conectar a pelo menos um HSM no cluster nos últimos 7 dias.

  • O cluster tem o estado ACTIVE.

  • O cluster tem 27 HSMs ou menos.

  • A taxa de erro das operações do HSM não aumenta durante a migração.

nota

A restrição anterior que impedia a migração de clientes com cargas de trabalho de chaves de token foi removida.

Modo de gravação limitada no cluster

Quando a migração do cluster começa, ele entra em um modo de gravação limitada. As operações que podem alterar o estado do HSM são rejeitadas. Todas as operações de leitura permanecem inalteradas.

Durante a migração, sua aplicação recebe um erro do HSM ao tentar estas operações:

  • Geração e exclusão de chaves de token (as workloads da chave de sessão continuam operando).

  • Todas as criações, exclusões ou modificações de usuários.

  • Operações de quórum.

  • Modificação de chaves no HSM, como alteração de atributos de chave.

  • Registro de mTLS.

O AWS CloudHSM também coloca seu cluster em um estado MODIFY_IN_PROGRESS durante a migração. Durante esse período, não será possível adicionar ou remover HSMs do cluster.

Iniciar a migração

O processo de migração do cluster substitui HSMs individuais em seu cluster, um por vez. A duração depende do número de HSMs em seu cluster. Em média, esse processo leva cerca de 30 minutos por HSM. Você pode acompanhar o progresso monitorando o tipo de HSM de HSMs individuais no cluster para ver quantos foram migrados para o novo tipo.

Console
Para alterar o tipo de HSM (console)

  1. Abra o console do AWS CloudHSM em https://console.aws.amazon.com/cloudhsm/home.

  2. Selecione o botão de seleção ao lado do ID do cluster que você deseja alterar

  3. No menu Ações, escolha Modify HSM Type e selecione o tipo de HSM desejado.

Esse procedimento coloca seu cluster no estado MODIFY_IN_PROGRESS. Após a migração, seu cluster retorna ao estado ACTIVE.

AWS CLI
Para alterar o tipo de HSM (AWS CLI)

  • Em um prompt de comando, execute o comando modify-cluster. Especifique o ID do cluster e o tipo de HSM desejado. 

    $ aws cloudhsmv2 modify-cluster --cluster-id <cluster ID> --hsm-type <HSM Type>
                                                 
 
 {
     "Cluster": {
         "BackupPolicy": "DEFAULT",
         "BackupRetentionPolicy": {
             "Type": "DAYS",
             "Value": 90
          },
         "VpcId": "vpc-50ae0636",
         "SubnetMapping": {
             "us-west-2b": "subnet-49a1bc00",
             "us-west-2c": "subnet-6f950334",
             "us-west-2a": "subnet-fd54af9b"
         },
         "SecurityGroup": "sg-6cb2c216",
         "HsmType": "hsm2m.medium",
         "HsmTypeRollbackExpiration": 1730383180.000,
         "Certificates": {},
         "State": "MODIFY_IN_PROGRESS",
         "Hsms": [],
         "ClusterId": "cluster-igklspoyj5v",
         "ClusterMode": "FIPS",
         "CreateTimestamp": 1502423370.069
     }
 }

Esse procedimento coloca seu cluster no estado MODIFY_IN_PROGRESS. Após a migração, seu cluster retorna ao estado ACTIVE.

AWS CloudHSM API
Para alterar o tipo de HSM (API do AWS CloudHSM)

  • Envie uma solicitação ModifyCluster. Especifique o ID do cluster e o tipo de HSM desejado para o cluster.

Esse procedimento coloca seu cluster no estado MODIFY_IN_PROGRESS. Após a migração, seu cluster retorna ao estado ACTIVE.

Reverter a migração

O AWS CloudHSM monitora taxas de erro elevadas e realiza verificações de validação contínuas durante toda a migração. Se o AWS CloudHSM detectar uma diminuição na qualidade do serviço ou qualquer falha na validação, ele iniciará automaticamente uma reversão para o tipo de HSM original do seu cluster. Durante uma reversão, para cada HSM no cluster:

  • O AWS CloudHSM usa o backup feito no início da migração desse HSM.

  • Ele substitui um HSM por vez até que todos os HSMs retornem ao tipo original.

  • Seu cluster permanece no modo de gravação limitada durante todo o processo.

Você pode reverter a migração dentro de 24 horas após iniciá-la. Para verificar o prazo de reversão:

  1. Execute o comando describe-clusters.

  2. Procure o valor de HsmTypeRollbackExpiration. Esse carimbo de data/hora é seu prazo de reversão.

Se você decidir reverter, faça isso antes desse prazo. A reversão usa o backup mais recente do seu tipo de HSM original.

Atenção

Tenha cuidado ao reverter após a conclusão da migração. Se você concluir uma migração e depois usar AWS CloudHSM para criar novas chaves ou usuários, a reversão pode resultar em perda de dados. Consulte Sincronizar dados após uma reversão para saber como mitigar a perda de dados após uma reversão.

Console
Para reverter seu tipo de HSM (console)

  1. Abra o console do AWS CloudHSM em https://console.aws.amazon.com/cloudhsm/home.

  2. Selecione o ID do cluster que deseja reverter.

  3. No menu Ações, escolha Modify HSM Type e selecione o tipo de HSM original.

Esse procedimento coloca seu cluster no estado ROLLBACK_IN_PROGRESS. Após a reversão, seu cluster retorna ao estado ACTIVE.

AWS CLI
Para reverter seu tipo de HSM (AWS CLI)

  • Em um prompt de comando, execute o comando modify-cluster. Especifique o ID do cluster e o tipo de HSM original. 

    $ aws cloudhsmv2 modify-cluster --cluster-id <cluster ID> --hsm-type <HSM Type>
                                
{
 "Cluster": {
     "BackupPolicy": "DEFAULT",
     "BackupRetentionPolicy": {
         "Type": "DAYS",
         "Value": 90
      },
     "VpcId": "vpc-50ae0636",
     "SubnetMapping": {
         "us-west-2b": "subnet-49a1bc00",
         "us-west-2c": "subnet-6f950334",
         "us-west-2a": "subnet-fd54af9b"
     },
     "SecurityGroup": "sg-6cb2c216",
     "HsmType": "hsm1.medium",
     "HsmTypeRollbackExpiration": 1730383180.000,
     "Certificates": {},
     "State": "ROLLBACK_IN_PROGRESS",
     "Hsms": [],
     "ClusterId": "cluster-igklspoyj5v",
     "ClusterMode": "FIPS",
     "CreateTimestamp": 1502423370.069
 }
}

Esse procedimento coloca seu cluster no estado ROLLBACK_IN_PROGRESS. Após a reversão, seu cluster retorna ao estado ACTIVE.

AWS CloudHSM API
Para reverter seu tipo de HSM (API do AWS CloudHSM)

  • Envie uma solicitação ModifyCluster. Especifique o ID do cluster e o tipo de HSM original para o cluster.

Esse procedimento coloca seu cluster no estado ROLLBACK_IN_PROGRESS. Após a reversão, seu cluster retorna ao estado ACTIVE.

Sincronizar dados após uma reversão

Durante a migração, os HSMs estão no modo de gravação limitada, evitando alterações no estado do HSM. Se você reverter durante esse período (enquanto o cluster estiver MODIFY_IN_PROGRESS), isso resultará em um cluster com conteúdo idêntico ao cluster original.

Depois que seu cluster retornar ao estado ACTIVE, o modo de gravação limitada será suspenso. Se você criar uma chave ou usuário enquanto estiver no estado ACTIVE e depois reverter, essa chave ou usuário não estará presente no seu cluster revertido.

Para abordar a sincronização de usuários, use o gerenciamento de usuários com a CloudHSM CLI para recriar os usuários ausentes em seu cluster revertido. Os usuários devem ser recriados manualmente porque o comando user replicate não oferece suporte à sincronização de usuários de hsm2m.medium para hsm1.medium. Veja os problemas conhecidos de replicação de usuários.

Para abordar a sincronização de chaves, use o comando key replicate para replicar uma chave entre dois clusters. Se não tiver instalado a CloudHSM CLI, siga as instruções em Conceitos básicos da interface de linha de comandos (CLI) do AWS CloudHSM.

Para sincronizar as chaves após a reversão

Siga estas etapas após concluir a reversão. Usaremos estes termos:

  • “cluster-1”: seu cluster revertido (agora hsm1.medium)

  • “cluster-2”: um novo cluster hsm2m.medium temporário que você criará

  1. Crie um novo cluster hsm2m.medium (cluster-2) usando o backup hsm2m.medium mais recente do cluster-1:

    aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
                                --subnet-ids <subnet ID 1> <subnet ID 2> <subnet ID N> \
                                --source-backup-id <backup ID>
                                --mode <FIPS>

  2. Crie um HSM no cluster-2:

    aws cloudhsmv2 create-hsm --cluster-id <cluster-2 ID>

  3. Liste as chaves no cluster-2 que precisam de replicação:

    cloudhsm-cli key list --cluster-id <cluster-2 ID>

  4. Replique cada chave do cluster-2 para o cluster-1:

    cloudhsm-cli key replicate --source-cluster-id <cluster-2 ID> \
                        --destination-cluster-id <cluster-1 ID> \
                        --filter attr.label=<key ID>

  5. Repita a etapa 4 para cada chave que precisa ser copiada.

  6. Exclua o HSM no cluster-2:

    aws cloudhsmv2 delete-hsm --cluster-id <cluster-2 ID> --hsm-id <HSM ID>

  7. Exclua o cluster-2:

    aws cloudhsmv2 delete-cluster --cluster-id <cluster-2 ID>