Limitación de HSM
Cuando su carga de trabajo supere la capacidad del módulo de seguridad de hardware (HSM) del clúster de su AWS CloudHSM, recibirá mensajes de error indicando que los HSM están ocupados o limitados. Cuando esto sucede, es posible que vea una reducción del rendimiento o un aumento en la tasa de solicitudes de rechazo de los HSM. Además, los HSM pueden enviar los siguientes errores de ocupado.
En PKCS11, los errores de ocupado se asignan a
CKR_FUNCTION_FAILED
. Este error puede producirse por varios motivos, pero si la limitación del HSM provoca este error, aparecerán en su registro las siguientes líneas de registro:[cloudhsm_provider::hsm1::hsm_connection::e2e_encryption::error] Failed to prepare E2E response. Error: Received error response code from Server. Response Code: 187
[cloudhsm_pkcs11::decryption::aes_gcm] Received error from the server. Error: This operation is already in progress. Internal error code: 0x000000BB
En JCE, los errores de ocupado se asignan a
com.amazonaws.cloudhsm.jce.jni.exception.InternalException: Unexpected error with the Provider: The HSM could not queue the request for processing.
.Los errores de ocupado de otros SDK muestran el siguiente mensaje:
Received error response code from Server. Response Code: 187
.
En PKCS11, los errores de ocupado se asignan a errores
CKR_OPERATION_ACTIVE
.En JCE, los errores de ocupado se asignan a
CFM2Exception
con el estado de0xBB (187)
. Las aplicaciones pueden usar la funcióngetStatus()
enCFM2Exception
para comprobar qué estado devuelve el HSM.Los errores de ocupado de otros SDK mostrarán el siguiente mensaje:
HSM Error: HSM is already busy generating the keys(or random bytes) for another request.
Resolución
Puede solucionar estos problemas realizando una o más de las siguientes acciones:
Agregue comandos de reintento para las operaciones de HSM rechazadas en su capa de aplicaciones. Antes de activar los comandos de reintento, asegúrese de que el clúster tenga el tamaño adecuado para soportar los picos de carga.
nota
En SDK de cliente 5.8.0 y versiones posteriores, los comandos de reintento están activados de forma predeterminada. Para obtener más información sobre la configuración de los comandos de reintento de cada SDK, consulte Configuraciones avanzadas para la herramienta de configuración SDK 5 de cliente.
Añada más HSM a su clúster siguiendo las instrucciones que se indican en Escalar HSM en un clúster del AWS CloudHSM.
importante
Recomendamos realizar pruebas de carga en el clúster para determinar el pico de carga previsto y, a continuación, añadir un HSM adicional para garantizar una alta disponibilidad.