AWS CloudHSM hsm2m.medium 实例的已知问题

影响：hsm2m.medium 符合最新的 FIPS 140-3 3 级要求。登录 hsm2m.medium 遵循增强的安全性和合规性要求，这会导致延迟增加。

解决办法：如果可能，请在同一个应用程序中序列化登录请求，以避免登录期间的延迟延长。并行处理多个登录请求将导致延迟增加。

影响：与 hsm1.medium HSM 实例相比，hsm2m.medium HSM 实例改进了公平份额架构，从而实现了更稳定的可预测性能。使用 hsm1.medium，由于不定期使用 HSM 资源，客户可能会观察到更高的查找密钥性能。但是，当使用新固件修补或更新 HSM 实例时，hsm1.medium 查找密钥性能会降低。此问题会影响 JCE 中的 KeyStore.getKey() 等操作。

解决办法：我们正在努力改进 HSM 固件。最佳实践是缓存查找密钥操作的结果。缓存将减少查找密钥操作的总数，因为这是 HSM 中的资源密集型操作。此外，使用指数回退和抖动实现客户端重试，进而减少 HSM 节流失败。

影响：任何尝试设置密钥的可信属性的 CO 用户都将收到一条错误，指示 User type should be CO or CU。

解决方法：Client SDK 的未来版本将解决此问题。更新将在我们的用户指南 文档历史记录 中公布。

影响：在 FIPS 模式下对 HSM 执行的 ECDSA 验证操作将失败。

解决状态：此问题已在 Client SDK 5.13.0 发布版中解决。您必须升级到此客户端版本或更高版本才能从修复中获益。

影响：DER 格式的证书不能使用 CloudHSM CLI 注册为 mTLS 信任锚。

解决办法：您可以使用 openssl 命令将 DER 格式的证书转换为 PEM 格式：openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem

影响：应用程序执行的所有操作都将停止，并且在应用程序的整个生命周期中，系统将多次提示用户输入标准输入的密码短语。如果在操作的超时持续时间之前未提供密码，则操作将超时并失败。

解决办法：mTLS 不支持密码短语加密的私有密钥。从客户端私有密钥中移除密码短语加密

影响：使用 CloudHSM CLI 时，在 hsm2m.medium 实例上用户复制失败。user replicate 命令在 hsm1.medium 实例上按预期运行。

解决方案：我们正在努力解决此问题。对于更新，请参阅用户指南中的 文档历史记录。

影响：当 AWS CloudHSM 创建备份时，诸如生成随机数之类的操作可能会在 hsm2m.medium 实例上失败。

解决方案：为最大限度地减少服务中断，请实施以下最佳实践：

有关最佳实践的更多信息，请参阅AWS CloudHSM 的最佳做法。

影响：Client SDK 5.8 及更高版本无法重试某些受 HSM 限制的操作

解决办法：按照最佳实践架构集群，进而处理负载并实现应用程序级重试。目前我们正在努力修复。更新将在我们的用户指南 文档历史记录 中公布。

解决状态：此问题已在 AWS CloudHSM Client SDK 5.16.2 中解决。您必须升级到此客户端版本或更高版本才能从修复中获益。