As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Alterar as configurações de durabilidade da chave do AWS CloudHSM cliente
A sincronização de chaves é basicamente um processo automático, mas você pode gerenciar as configurações de durabilidade de chaves do lado do cliente. As configurações de durabilidade de chave do lado do cliente funcionam de forma diferente no Client SDK 5 e no Client SDK 3.
+ No Client SDK 5, apresentamos o conceito de *quóruns de disponibilidade de chaves*, que exige que você execute clusters com no mínimo dois. HSMs Você pode usar as configurações de durabilidade de chave do lado do cliente para optar por não atender aos dois requisitos de HSM. Para obter mais informações sobre quoruns, consulte [AWS CloudHSM conceitos-chave](concepts-key-sync.md).
+ No Client SDK 3, você usa as configurações de durabilidade da chave do lado do cliente para especificar o número HSMs em que a criação da chave deve ser bem-sucedida para que a operação geral seja considerada bem-sucedida.
## Configurações de durabilidade de chave do Client SDK 5
No Client SDK 5, a sincronização de chaves é um processo totalmente automático. Com o quórum de disponibilidade de chaves, as chaves recém-criadas devem existir em duas HSMs no cluster antes que seu aplicativo possa usar a chave. Para usar o quórum de disponibilidade de chaves, seu cluster deve ter no mínimo dois. HSMs
Se a configuração do cluster não atender aos principais requisitos de durabilidade, qualquer tentativa de criar ou usar uma chave de token falhará com a seguinte mensagem de erro nos registros:
```
Key does not meet the availability requirements - The key must be available on at least 2 HSMs before being used.
```
Você pode usar as configurações do cliente para cancelar o quórum de disponibilidade de chaves. Talvez você queira optar por não executar um cluster com um único HSM, por exemplo.
### Conceitos do Client SDK 5
**Quórum de disponibilidade chave**
AWS CloudHSM especifica o número de HSMs em um cluster no qual as chaves devem existir antes que seu aplicativo possa usar a chave. Requer clusters com no mínimo dois HSMs.
### Gerenciando as configurações de durabilidade de chave do cliente
Para gerenciar as configurações de durabilidade de chave do cliente, você deve usar a ferramenta de configuração do Client SDK 5.
------
#### [ PKCS \$111 library ]
**Para desativar a durabilidade de chave do cliente para o Client SDK 5 no Linux**
+ Use a ferramenta de configuração para desativar as configurações de durabilidade de chave do cliente.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
```
**Para desativar a durabilidade de chave do cliente para o Client SDK 5 no Windows**
+ Use a ferramenta de configuração para desativar as configurações de durabilidade de chave do cliente.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
```
------
#### [ OpenSSL Dynamic Engine ]
**Para desativar a durabilidade de chave do cliente para o Client SDK 5 no Linux**
+ Use a ferramenta de configuração para desativar as configurações de durabilidade de chave do cliente.
```
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
```
------
#### [ OpenSSL Dynamic Engine Provider ]
**Para desativar a durabilidade de chave do cliente para o Client SDK 5 no Linux**
+ Use a ferramenta de configuração para desativar as configurações de durabilidade de chave do cliente.
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --disable-key-availability-check
```
------
#### [ Key Storage Provider (KSP) ]
**Para desativar a durabilidade de chave do cliente para o Client SDK 5 no Windows**
+ Use a ferramenta de configuração para desativar as configurações de durabilidade de chave do cliente.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --disable-key-availability-check
```
------
#### [ JCE provider ]
**Para desativar a durabilidade de chave do cliente para o Client SDK 5 no Linux**
+ Use a ferramenta de configuração para desativar as configurações de durabilidade de chave do cliente.
```
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
```
**Para desativar a durabilidade de chave do cliente para o Client SDK 5 no Windows**
+ Use a ferramenta de configuração para desativar as configurações de durabilidade de chave do cliente.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
```
------
#### [ CloudHSM CLI ]
**Para desativar a durabilidade de chave do cliente para o Client SDK 5 no Linux**
+ Use a ferramenta de configuração para desativar as configurações de durabilidade de chave do cliente.
```
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
```
**Para desativar a durabilidade de chave do cliente para o Client SDK 5 no Windows**
+ Use a ferramenta de configuração para desativar as configurações de durabilidade de chave do cliente.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check
```
------
## Configurações de durabilidade de chave do Client SDK 3
No Client SDK 3, a sincronização de chaves é basicamente um processo automático, mas você pode usar as configurações de durabilidade de chave do cliente para tornar as chaves mais duráveis. Você especifica o número HSMs em que a criação da chave deve ser bem-sucedida para que a operação geral seja considerada bem-sucedida. A sincronização do lado do cliente sempre faz o possível para clonar as chaves de cada HSM no cluster, independentemente da configuração escolhida. Sua configuração impõe a criação de chaves no número HSMs que você especificar. Se você especificar um valor e o sistema não conseguir replicar a chave para esse número de HSMs, o sistema limpará automaticamente qualquer material de chave indesejado e você poderá tentar novamente.
**Importante**
Se você não definir as configurações de durabilidade da chave do cliente (ou se usar o valor padrão de 1), suas chaves estarão vulneráveis à perda. Se seu HSM atual falhar antes que o serviço do lado do servidor tenha clonado essa chave em outro HSM, você perderá o material da chave.
Para maximizar a durabilidade da chave, considere especificar pelo menos duas HSMs para sincronização do lado do cliente. Lembre-se de que não importa quantas HSMs você especifique, a carga de trabalho em seu cluster permanece a mesma. A sincronização do lado do cliente sempre faz o possível para clonar as chaves de cada HSM no cluster.
**Recomendações**
+ **Mínimo**: dois HSMs por cluster
+ **Máximo**: um a menos do que o número total de HSMs em seu cluster
Se a sincronização do lado do cliente falhar, o serviço do cliente limpará todas as chaves indesejadas que possam ter sido criadas e que agora sejam indesejadas. Essa limpeza é a melhor resposta que nem sempre pode funcionar. Se a limpeza falhar, talvez seja necessário excluir o material de chave indesejado. Para obter mais informações, consulte [Falhas de sincronização de chaves](ts-client-sync-fail.md).
### Configurando o arquivo de configuração para durabilidade de chave do cliente
Para especificar as configurações de durabilidade de chave do cliente, você deve editar `cloudhsm_client.cfg`.
**Para editar a configuração do cliente**
1. Abra o `cloudhsm_client.cfg`.
**Linux**
```
/opt/cloudhsm/etc/cloudhsm_client.cfg
```
**Windows:**
```
C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg
```
1. No `client` nó do arquivo, adicione `create_object_minimum_nodes` e especifique um valor para o número mínimo HSMs em que as chaves AWS CloudHSM devem ser criadas com êxito para que as operações de criação de chaves sejam bem-sucedidas.
```
"create_object_minimum_nodes" : 2
```
**nota**
A ferramenta de linha de comando key\$1mgmt\$1util (KMU) tem uma configuração adicional para durabilidade da chave do cliente. Para obter mais informações, consulte [KMU e sincronização do lado do cliente](#kmu-sync).
#### Referência da configuração
Essas são as propriedades de sincronização do lado do cliente, mostradas em um trecho do `cloudhsm_client.cfg`:
```
{
"client": {
"create_object_minimum_nodes" : 2,
...
},
...
}
```
**create\$1object\$1minimum\$1nodes**
Especifica o número mínimo HSMs necessário para considerar as operações de geração, importação ou desempacotamento de chaves bem-sucedidas. O padrão é definido como "1". Isso significa que, para cada operação de criação de chave, o serviço do lado do cliente tenta criar chaves em cada HSM no cluster, mas, para retornar um sucesso, só é preciso criar uma *única chave* em um HSM no cluster.
### KMU e sincronização do lado do cliente
Se você criar chaves com a ferramenta de linha de comando key\$1mgmt\$1util (KMU), você usa um parâmetro de linha de comando opcional (`-min_srv`) para *limitar* o número de chaves nas quais clonar. HSMs Se você especificar o parâmetro da linha de comando *e* um valor no arquivo de configuração, AWS CloudHSM honra o MAIOR dos dois valores.
Para saber mais, consulte os seguintes tópicos:
+ [2 gênios DSAKey Pair](key_mgmt_util-genDSAKeyPair.md)
+ [2 gênios ECCKey Pair](key_mgmt_util-genECCKeyPair.md)
+ [2 gênios RSAKey Pair](key_mgmt_util-genRSAKeyPair.md)
+ [genSymKey](key_mgmt_util-genSymKey.md)
+ [importPrivateKey](key_mgmt_util-importPrivateKey.md)
+ [importPubKey](key_mgmt_util-importPubKey.md)
+ [imSymKey](key_mgmt_util-imSymKey.md)
+ [insertMaskedObject](key_mgmt_util-insertMaskedObject.md)
+ [unWrapKey](key_mgmt_util-unwrapKey.md)