HSMestrangulamiento - AWS CloudHSM
Resolución

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

HSMestrangulamiento

Cuando su carga de trabajo supere la capacidad del módulo de seguridad de hardware (HSM) del AWS CloudHSM clúster, recibirá mensajes de error que indicarán que HSMs está ocupado o limitado. Cuando esto suceda, es posible que vea una reducción del rendimiento o un aumento en la tasa de solicitudes rechazadas. HSMs Además, HSMs puede enviar los siguientes errores de ocupación.

  • EnPKCS11, los errores ocupados se asignan aCKR_FUNCTION_FAILED. Este error puede producirse por varios motivos, pero si la HSM limitación provoca este error, aparecerán en el registro las siguientes líneas de registro:

    • [cloudhsm_provider::hsm1::hsm_connection::e2e_encryption::error] Failed to prepare E2E response. Error: Received error response code from Server. Response Code: 187

    • [cloudhsm_pkcs11::decryption::aes_gcm] Received error from the server. Error: This operation is already in progress. Internal error code: 0x000000BB

  • EnJCE, los errores de ocupado se asignan a com.amazonaws.cloudhsm.jce.jni.exception.InternalException: Unexpected error with the Provider: The HSM could not queue the request for processing.

  • Otros errores de SDKs «ocupado» imprimen el siguiente mensaje:Received error response code from Server. Response Code: 187.

  • Si está ocupadoPKCS11, los errores se asignan a CKR_OPERATION_ACTIVE errores.

  • EnJCE, los errores de ocupado se asignan CFM2Exception con el estado de0xBB (187). Las aplicaciones pueden usar la getStatus() función activada CFM2Exception para comprobar qué estado devuelve elHSM.

  • Otros errores de SDKs ocupado imprimirán el siguiente mensaje: HSM Error: HSM is already busy generating the keys(or random bytes) for another request.

Resolución

Puede solucionar estos problemas realizando una o más de las siguientes acciones:

  • Agregue comandos de reintento para HSM las operaciones rechazadas en su capa de aplicación. Antes de activar los comandos de reintento, asegúrese de que el clúster tenga el tamaño adecuado para soportar los picos de carga.

    nota

    En Client SDK 5.8.0 y versiones posteriores, los comandos de reintento están activados de forma predeterminada. Para obtener más información sobre la configuración SDK de cada comando de reintento, consulte. Configuraciones avanzadas para la herramienta de configuración Client SDK 5

  • Añada más HSMs al clúster siguiendo las instrucciones que se indican enEscalar HSMs en un AWS CloudHSM clúster.

    importante

    Se recomienda realizar una prueba de carga del clúster para determinar el pico de carga previsto y, a continuación, añadir uno más HSM para garantizar la alta disponibilidad.