Fallos de sincronización de claves en Client SDK 3 de AWS CloudHSM
En SDK 3 de cliente, si se produce un error en la sincronización del lado del cliente, AWS CloudHSM hace todo lo posible para limpiar las claves no deseadas que puedan haberse creado (y que ahora no son necesarias). Este proceso implica eliminar de inmediato el material de claves no deseadas o marcarlo como material no deseado para su eliminación posterior. En ambos casos, la resolución no requiere ninguna acción por su parte. En el infrecuente caso de que AWS CloudHSM no pueda eliminar ni marcar el material de claves no deseadas, usted deberá eliminar el material de claves.
Problema: al intentar realizar una operación de generación, importación o desenscapsulado de claves de token, recibe un mensaje indicando que se ha producido un error de tombstone.
2018-12-24T18:28:54Z liquidSecurity ERR: print_node_ts_status:
[create_object_min_nodes]Key: 264617 failed to tombstone on node:1
Causa: AWS CloudHSM no ha podido eliminar ni marcar el material de claves no deseadas.
Solución: un HSM de su clúster contiene material de claves no deseadas que no ha sido marcado como material no deseado. Debe eliminar manualmente el material de claves. Para eliminar manualmente el material de claves no deseadas, use key_mgmt_util (KMU) o una API de la biblioteca PKCS #11 o del proveedor de JCE. Para obtener más información, consulte deleteKey o SDK de cliente.
Para que las claves de token sean más duraderas, AWS CloudHSM devuelve fallos en las operaciones de creación de claves que no alcancen el número mínimo de HSM especificado en la configuración de sincronización del lado del cliente. Para obtener más información, consulte Sincronización de claves en AWS CloudHSM.