AWS CloudHSM hsm2m.medium 实例的已知问题

影响：登录 hsm2m.medium 时会对合规性要求进行过于严格的解释，这会导致延迟增加。

解决方案：如果您在 2025 年 12 月 20 日之前创建了新的 hsm2m.medium 实例或从 hsm1.medium 迁移到 hsm2m.medium，则需要重置密码才能利用我们为登录操作实施的性能改进。有关说明，请参阅更改密码。

影响：与 hsm1.medium HSM 实例相比，hsm2m.medium HSM 实例改进了公平份额架构，从而实现了更稳定的可预测性能。使用 hsm1.medium，由于不定期使用 HSM 资源，客户可能会观察到更高的查找密钥性能。但是，当使用新固件修补或更新 HSM 实例时，hsm1.medium 查找密钥性能会降低。此问题会影响 JCE 中的 KeyStore.getKey() 等操作。

解决方案：此问题已得到解决。最佳实践是缓存查找密钥操作的结果。缓存将减少查找密钥操作的总数，因为这是 HSM 中的资源密集型操作。此外，使用指数回退和抖动实现客户端重试，进而减少 HSM 节流失败。

影响：任何尝试设置密钥的可信属性的 CO 用户都将收到一条错误，指示 User type should be CO or CU。

解决方法：Client SDK 的未来版本将解决此问题。更新将在我们的用户指南 文档历史记录 中公布。

影响： HSMs 在 FIPS 模式下执行的 ECDSA 验证操作将失败。

解决状态：此问题已在 Client SDK 5.13.0 发布版中解决。您必须升级到此客户端版本或更高版本才能从修复中获益。

影响：DER 格式的证书不能使用 CloudHSM CLI 注册为 mTLS 信任锚。

解决办法：您可以使用 openssl 命令将 DER 格式的证书转换为 PEM 格式：openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem

影响：应用程序执行的所有操作都将停止，并且在应用程序的整个生命周期中，系统将多次提示用户输入标准输入的密码短语。如果在操作的超时持续时间之前未提供密码，则操作将超时并失败。

解决办法：mTLS 不支持密码短语加密的私有密钥。从客户端私有密钥中移除密码短语加密

影响：使用 CloudHSM CLI 时，在 hsm2m.medium 实例上用户复制失败。user replicate 命令在 hsm1.medium 实例上按预期运行。

解决方案：此问题已得到解决。

影响：当 AWS CloudHSM 创建备份时，诸如生成随机数之类的操作可能会在 hsm2m.medium 实例上失败。

解决方案：为最大限度地减少服务中断，请实施以下最佳实践：

有关最佳实践的更多信息，请参阅的最佳实践 AWS CloudHSM。

影响：Client SDK 5.8 及更高版本无法重试某些受 HSM 限制的操作

解决办法：按照最佳实践架构集群，进而处理负载并实现应用程序级重试。目前我们正在努力修复。更新将在我们的用户指南 文档历史记录 中公布。

解决状态：此问题已在 AWS CloudHSM 客户端 SDK 5.16.2 中得到解决。您必须升级到此客户端版本或更高版本才能从修复中获益。

影响：当使用 AWS CloudHSM JCE 提供程序使用解包密钥的 AES/CBC 机制时，由于添加了不在 hsm1.medium 实例中的验证检查，因此在 hsm2m.medium 实例上使用 16 字节填充零 IV 的操作失败。

解析状态：我们正在研究一个修复程序，允许在 AES/CBC 解包 IVs 操作期间接受零字节。

影响：此问题会影响冷启动，例如客户端应用程序部署或重启。hsm2m.medium HSM 实例改进了公平共享架构，可确保为所有客户提供更稳定的性能、吞吐量和延迟。目前，在 hsm1.medium 上，您可能会观察到并发 HSM 连接初始化的性能高于预期。但是，hsm1.medium 连接初始化性能将因底层系统更新而异。

解决方案：遵循最佳实践，错开客户端应用程序部署和重启，以限制同时初始化 HSM 连接的客户端应用程序数量。我们还建议您为客户端应用程序初始化实施应用程序级别的重试。此外，使用配置工具进行引导--cluster-id <cluster ID>，将所有 HSM IP 添加到客户端配置文件中。在 AWS CloudHSM 客户端软件开发工具包版本 5.17.1 及更高版本中，此行为已得到改进。我们建议升级到最新的 SDK 版本，以便从此改进中受益。