Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS CloudHSM Fehler bei der SDK Client-5-Schlüsselreplikation
Der key replicate Befehl in der Cloud HSM CLI repliziert einen Schlüssel von einem AWS CloudHSM Quellcluster zu einem AWS CloudHSM Zielcluster. Die unten beschriebenen Schritte dienen der Behebung von Fehlern, wenn der key replicate Befehl aufgrund von Inkonsistenzen innerhalb des Quellclusters oder zwischen dem Quell- und dem Zielcluster fehlschlägt.
Problem: Der ausgewählte Schlüssel ist nicht im gesamten Cluster synchronisiert
Der Schlüsselreplikationsprozess beinhaltet eine Überprüfung, ob der Schlüssel im gesamten Quellcluster synchronisiert ist. Wenn eine der Schlüsselinformationen oder Schlüsselattribute den Wert „inkonsistent“ hat, bedeutet dies, dass der Schlüssel nicht im gesamten Cluster synchronisiert ist. Wenn ein Schlüssel im gesamten Cluster desynchronisiert wird, schlägt die Schlüsselreplikation mit der folgenden Fehlermeldung fehl:
{
"error_code": 1,
"data": "The selected key is not synchronized throughout the cluster"
}Um zu sehen, ob der Schlüssel im Quell-Cluster desynchronisiert ist, führen Sie den key list Befehl in der Cloud HSM CLI mit dem Flag aus, um nach einem bestimmten Schlüssel zu filtern, und dem --filter Flag, um die --verbose vollständige Ausgabe mit Informationen zur Schlüsselabdeckung zu sehen:
aws-cloudhsm >key list --filter attr.label=my-desynchronized-key-label --verbose{ "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x000000000048000f", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "my-desynchronized-key-label", "id": "0x", "check-value": "0xbe79db", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": "inconsistent", "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } } ], "total_key_count": 1, "returned_key_count": 1 } }
Lösung: Gehen Sie wie folgt vor, um die wichtigsten Informationen und Attribute im gesamten Quell-Cluster zu synchronisieren:
-
Wenn die Schlüsselattribute inkonsistent sind, verwenden Sie den
key set-attributeBefehl, um das gewünschte Attribut für den spezifischen Schlüssel festzulegen. -
Wenn die Abdeckung für gemeinsam genutzte Benutzer inkonsistent ist, führen Sie die
key unshareBefehlekey shareoder aus, um den Schlüssel für die gewünschten Benutzer freizugeben oder die Freigabe aufzuheben.
Problem: Der Schlüssel mit derselben Schlüsselreferenz ist im Zielcluster mit unterschiedlichen Schlüsselinformationen oder Schlüsselattributen vorhanden.
Wenn im Zielcluster ein Schlüssel mit derselben Schlüsselreferenz mit unterschiedlichen Schlüsselinformationen oder Schlüsselattributen vorhanden ist, wird möglicherweise ein Fehler ähnlich dem folgenden angezeigt:
{
"error_code": 1,
"data": "Key replicate failed on 1 of 3 connections"
} Lösung: Stellen Sie zunächst fest, welcher Schlüssel aufbewahrt werden muss. Löschen Sie dann den Schlüssel im entsprechenden Cluster mit dem key delete Befehl. Replizieren Sie abschließend den Schlüssel aus dem Cluster, in dem sich der Schlüssel befindet.
