Problemas conhecidos para instâncias AWS CloudHSM hsm2m.medium

Impacto: o login em hsm2m.medium segue uma interpretação excessivamente rígida dos requisitos de conformidade, o que resulta em maior latência.

Resolução: se você criou uma nova instância hsm2m.medium ou migrou de hsm1.medium para hsm2m.medium antes de 20 de dezembro de 2025, precisará redefinir sua senha para aproveitar as melhorias de desempenho que implementamos para operações de login. Consulte a senha de alteração para obter instruções.

Impacto: a instância HSM hsm2m.medium aprimorou a arquitetura de compartilhamento justo, o que resulta em um desempenho previsível mais consistente em comparação com hsm1.medium. Com o hsm1.medium, os clientes podem observar um melhor desempenho de descoberta de chave devido ao uso irregular dos recursos do HSM. No entanto, o desempenho da descoberta de chave do hsm1.medium diminuirá quando a instância do HSM for corrigida ou atualizada com um novo firmware. Esse problema afeta operações como KeyStore.getKey() no JCE.

Resolução: Esse problema foi resolvido. Como prática recomendada, armazene em cache os resultados das operações de descoberta de chave. O armazenamento em cache reduzirá o número total de operações de descoberta de chave, pois é uma operação que consome muitos recursos no HSM. Além disso, implemente novas tentativas do lado do cliente com instabilidade e recuo exponenciais para reduzir as falhas de controle de utilização do HSM.

Impacto: qualquer usuário de CO que tente definir o atributo confiável de uma chave receberá um erro indicando User type should be CO or CU.

Resolução: versões futuras do Client SDK resolverão esse problema. As atualizações serão anunciadas no Histórico do documento do nosso guia do usuário.

Impacto: a operação de verificação do ECDSA realizada HSMs no modo FIPS falhará.

Status da resolução: esse problema foi resolvido na Versão 5.13.0 do Client SDK. Você deve atualizar para essa versão do cliente ou superior para se beneficiar da correção.

Impacto: certificados no formato DER não podem ser registrados como âncoras confiáveis do mTLS com a CLI do CloudHSM.

Solução alternativa: você pode converter um certificado no formato DER para o formato PEM com o comando openssl: openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem

Impacto: todas as operações realizadas pela aplicação serão interrompidas, e o usuário será solicitado a inserir a frase secreta na entrada padrão várias vezes durante a vida útil da aplicação. As operações atingirão o tempo limite e falharão se a senha não for fornecida antes da duração do tempo limite da operação.

Solução alternativa: as chaves privadas criptografadas com frase secreta não são compatíveis com o mTLS. Remova a criptografia de senha da chave privada do cliente

Impacto: a replicação do usuário falha nas instâncias hsm2m.medium ao usar a CloudHSM CLI. O comando user replicate funciona conforme o esperado nas instâncias hsm1.medium.

Resolução: Esse problema foi resolvido.

Impacto: as operações como a geração de números aleatórios podem falhar em instâncias hsm2m.medium enquanto o AWS CloudHSM cria um backup.

Resolução: para minimizar as interrupções do serviço, implemente estas melhores práticas:

Para obter mais informações sobre as melhores práticas, consulte Melhores práticas para AWS CloudHSM.

Impacto: o SDK 5.8 e superior do cliente não tentará novamente algumas operações de controle de utilização do HSM

Solução alternativa: siga as práticas recomendadas para arquitetar seu cluster para processar a carga e implementar novas tentativas em nível de aplicação. Estamos trabalhando em uma solução. As atualizações serão anunciadas no Histórico do documento do nosso guia do usuário.

Status da resolução: esse problema foi resolvido no SDK do AWS CloudHSM cliente 5.16.2. Você deve atualizar para essa versão do cliente ou superior para se beneficiar da correção.

Impacto: ao usar o AES/CBC mecanismo para desempacotar chaves usando o provedor AWS CloudHSM JCE, as operações com um IV de 16 bytes preenchido com zero falham nas instâncias hsm2m.medium, devido a uma verificação de validação adicional que não estava nas instâncias hsm1.medium.

Status da resolução: estamos trabalhando em uma correção que permitirá que zero bytes IVs sejam aceitos durante AES/CBC as operações de desempacotamento.

Impacto: esse problema afeta inicializações a frio, como implantações ou reinicializações de aplicativos clientes. A instância HSM hsm2m.medium aprimorou a arquitetura de compartilhamento justo, o que garante desempenho, taxa de transferência e latência mais consistentes para todos os clientes. Atualmente, no hsm1.medium, você pode observar um desempenho superior ao pretendido para a inicialização simultânea da conexão HSM. No entanto, o desempenho de inicialização da conexão hsm1.medium variará com base nas atualizações subjacentes do sistema.

Resolução: siga as melhores práticas e escalone as implantações e reinicializações de aplicativos clientes para limitar a quantidade de aplicativos clientes que inicializam conexões HSM simultaneamente. Também recomendamos que você implemente novas tentativas no nível do aplicativo para a inicialização do aplicativo cliente. Além disso, inicialize usando a ferramenta configure with --cluster-id <cluster ID> para adicionar todos os IPs do HSM ao arquivo de configuração do cliente.