Falhas de replicação de chaves do Client SDK 5 do AWS CloudHSM - AWS CloudHSM
Problema: a chave selecionada não está sincronizada em todo o clusterProblema: existe uma chave com a mesma referência no cluster de destino com diferentes informações ou atributos

Falhas de replicação de chaves do Client SDK 5 do AWS CloudHSM

O comando key replicate na CLI do CloudHSM replica uma chave de um cluster do AWS CloudHSM de origem para um cluster do AWS CloudHSM de destino. Este guia aborda falhas causadas por inconsistências no cluster de origem ou entre os clusters de origem e de destino.

Problema: a chave selecionada não está sincronizada em todo o cluster

O processo de replicação de chaves verifica a sincronização da chave em todo o cluster de origem. Se alguma das informações ou atributos da chave tiver o valor “inconsistente”, isso significa que ela não está sincronizada em todo o cluster. A replicação de chaves apresenta falha com a seguinte mensagem de erro: 

{
  "error_code": 1,
  "data": "The selected key is not synchronized throughout the cluster"
}

Para verificar a dessincronização da chave no cluster de origem:

  1. Execute o comando key list na CloudHSM CLI.

  2. Use o sinalizador --filter para especificar a chave.

  3. Adicione o sinalizador --verbose para ver a saída completa com as informações de cobertura de chave.

aws-cloudhsm > key list --filter attr.label=example-desynchronized-key-label --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x000000000048000f",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "example-desynchronized-key-label",
          "id": "0x",
          "check-value": "0xbe79db",
          "class": "secret-key",
          "encrypt": false,
          "decrypt": false,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": "inconsistent",
          "trusted": false,
          "unwrap": false,
          "verify": true,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 16
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}
Resolução: sincronize as informações e os atributos da chave em todo o cluster de origem

Para sincronizar as informações e os atributos da chave em todo o cluster de origem:

  1. Para os atributos de chave inconsistentes: use o comando key set-attribute para definir o atributo desejado para a chave específica.

  2. Para cobertura inconsistente de usuários compartilhados: use os comandos key share ou key unshare para ajustar o compartilhamento de chaves com os usuários desejados.

Problema: existe uma chave com a mesma referência no cluster de destino com diferentes informações ou atributos

Se uma chave com a mesma referência já existir no cluster de destino com informações ou atributos diferentes, o seguinte erro poderá ocorrer: 

{
  "error_code": 1,
  "data": "Key replicate failed on 1 of 3 connections"
}
Resolução

  1. Determine qual versão da chave deve ser mantida.

  2. Exclua a versão indesejada da chave usando o comando key delete no cluster apropriado.

  3. Replique a chave pelo cluster que tem a versão correta.