hsm2m.medium AWS CloudHSM 執行個體的已知問題

影響：登入 hsm2m.medium 遵循對合規要求的過度嚴格解釋，這會導致延遲增加。

解決方案：如果您在 2025 年 12 月 20 日之前建立新的 hsm2m.medium 執行個體，或從 hsm1.medium 遷移至 hsm2m.medium，您將需要重設密碼，以利用我們為登入操作實作的效能改進。如需說明，請參閱變更密碼。

影響：hsm2m.medium HSM 執行個體已改善公平共用架構，相較於 hsm1.medium，可產生更一致的可預測效能。使用 hsm1.medium 時，客戶可能會因為不定期使用 HSM 資源而發現更高的金鑰效能。不過，當 HSM 執行個體使用新韌體修補或更新時，hsm1.medium 尋找金鑰效能將會降低。此問題會影響 JCE KeyStore.getKey()中的 等操作。

解決方案：此問題已解決。最佳實務是快取尋找金鑰操作的結果。快取將減少尋找金鑰操作的總數，因為它是 HSM 中的資源密集型操作。此外，使用指數退避和抖動實作用戶端重試，以減少 HSM 調節失敗。

影響：任何嘗試設定金鑰信任屬性的 CO 使用者都會收到錯誤，指出 User type should be CO or CU。

解決方案：用戶端 SDK 的未來版本將解決此問題。更新將在使用者指南的 中宣布文件歷史紀錄。

影響：ECDSA 驗證在 FIPS 模式下為 HSMs 執行的操作將會失敗。

解決狀態：此問題已在用戶端 SDK 5.13.0 版本中解決。您必須升級至此用戶端版本 或更新版本，才能從修正中獲益。

影響：DER 格式的憑證無法向 CloudHSM CLI 註冊為 mTLS 信任錨點。

解決方法：您可以使用 openssl 命令，將 DER 格式的憑證轉換為 PEM 格式： openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem

影響：應用程式執行的所有操作都將停止，並在整個應用程式生命週期內提示使用者多次輸入標準輸入的複雜密碼。如果未在操作逾時持續時間之前提供密碼短語，則操作會逾時並失敗。

解決方法：mTLS 不支援複雜密碼加密的私有金鑰。從用戶端私有金鑰移除複雜密碼加密

影響：使用 CloudHSM CLI 時，hsm2m.medium 執行個體上的使用者複寫失敗。user replicate 命令在 hsm1.medium 執行個體上如預期般運作。

解決方案：此問題已解決。

影響：在 AWS CloudHSM 建立備份時，產生隨機數字之類的操作可能會在 hsm2m.medium 執行個體上失敗。

解決方案：為將服務中斷降至最低，請實作下列最佳實務：

如需最佳實務的詳細資訊，請參閱「的最佳實務 AWS CloudHSM」。

影響：用戶端 SDK 5.8 及更高版本不會重試某些 HSM 限流操作

解決方法：遵循最佳實務來架構叢集，以處理負載並實作應用程式層級重試。我們目前正在進行修正。更新將在使用者指南的 中宣布文件歷史紀錄。

解決狀態：此問題已在 AWS CloudHSM 用戶端 SDK 5.16.2 中解決。您必須升級至此用戶端版本 或更新版本，才能從修正中獲益。

影響：使用 AWS CloudHSM 使用 JCE 提供者取消包裝金鑰的 AES/CBC 機制時，在 hsm2m.medium 執行個體上具有 16 位元組零填充 IV 的操作會失敗，因為新增的驗證檢查不在 hsm1.medium 執行個體中。

解決狀態：我們正在處理一個修正，允許在 AES/CBC 取消包裝操作期間接受零位元組 IVs。

影響：此問題會影響冷啟動，例如用戶端應用程式部署或重新啟動。hsm2m.medium HSM 執行個體已改善公平共享架構，以確保為所有客戶提供更一致的效能、輸送量和延遲。目前在 hsm1.medium 上，您可能會觀察到高於並行 HSM 連線初始化的預期效能。不過，hsm1.medium 連線初始化效能會根據基礎系統更新而有所不同。

解決方案：遵循最佳實務和交錯用戶端應用程式部署並重新啟動，以限制同時初始化 HSM 連線的用戶端應用程式數量。我們也建議您實作應用程式層級重試以進行用戶端應用程式初始化。此外，使用設定工具搭配 引導--cluster-id <cluster ID>，將所有 HSM IP 新增至用戶端組態檔案。