Cambiar la configuración de durabilidad de claves del cliente de AWS CloudHSM - AWS CloudHSM

Cambiar la configuración de durabilidad de claves del cliente de AWS CloudHSM

La sincronización de claves es, en su mayoría, un proceso automático, pero puede gestionar la configuración de durabilidad de las claves del lado del cliente. La configuración de durabilidad de las claves del lado del cliente funciona de forma diferente en SDK 5 de cliente y SDK 3 de cliente.

  • En SDK 5 de cliente, presentamos el concepto de cuórums de disponibilidad de claves, que requiere que se ejecuten clústeres con un mínimo de dos HSM. Puede utilizar la configuración de durabilidad clave del lado del cliente para excluirse del requisito de los dos HSM. Para obtener más información sobre los cuórums, consulte Conceptos de SDK 5 de cliente.

  • En SDK 3 de cliente, se utiliza la configuración de durabilidad de las claves del lado del cliente para especificar el número de HSM en los que la creación de claves debe realizarse correctamente para que la operación general se considere un éxito.

En SDK 5 de cliente, la sincronización de claves es un proceso totalmente automático. Con el cuórum de disponibilidad de claves, las claves recién creadas deben existir en dos HSM del clúster para que la aplicación pueda usar la clave. Para utilizar el cuórum de disponibilidad de claves, el clúster debe tener un mínimo de dos HSM.

Si la configuración del clúster no cumple los requisitos de durabilidad clave, cualquier intento de crear o utilizar una clave simbólica fallará y aparecerá el siguiente mensaje de error en los registros:

Key <key handle> does not meet the availability requirements - The key must be available on at least 2 HSMs before being used.

Puede usar los ajustes de configuración del cliente para excluirse del cuórum de disponibilidad de claves. Por ejemplo, puede optar por no ejecutar un clúster con un solo HSM.

Conceptos de SDK 5 de cliente

Cuórum de disponibilidad de claves

AWS CloudHSM especifica el número de HSM de un clúster en los que deben existir las claves para que la aplicación pueda utilizarlas. Requiere clústeres con un mínimo de dos HSM.

Gestión de la configuración de durabilidad de la clave del cliente

Para administrar la configuración de durabilidad de las claves del cliente, debe utilizar la herramienta de configuración de SDK 5 de cliente.

PKCS #11 library
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Linux

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Windows

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
OpenSSL Dynamic Engine
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Linux

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
JCE provider
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Linux

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Windows

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
CloudHSM CLI
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Linux

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Windows

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check

En SDK 3 de cliente, la sincronización de claves es en su mayoría un proceso automático, pero puede usar la configuración de durabilidad de las claves del cliente para aumentar la durabilidad de las claves. Debe especificar el número de HSM en los que la creación de claves debe realizarse correctamente para que la operación general se considere un éxito. La sincronización del lado del cliente siempre hace todo lo posible por clonar las claves de todos los HSM del clúster, independientemente de la configuración que elija. La configuración impone la creación de claves en el número de HSM que especifique. Si especifica un valor y el sistema no puede replicar la clave en ese número de HSM, el sistema eliminará automáticamente el material clave no deseado y podrá volver a intentarlo.

importante

Si no establece la configuración de durabilidad de las claves del cliente (o si usa el valor predeterminado de 1), sus claves son vulnerables a la pérdida. Si su HSM actual falla antes de que el servicio del servidor haya clonado esa clave en otro HSM, perderá el material de la clave.

Para maximizar la durabilidad de la clave, considere la posibilidad de especificar al menos dos HSM para la sincronización del lado del cliente. Recuerde que, independientemente del número de HSM que especifique, la carga de trabajo del clúster sigue siendo la misma. La sincronización del lado del cliente siempre hace todo lo posible por clonar las claves de todos los HSM del clúster.

Recomendaciones

  • Mínimo: dos HSM por clúster

  • Máximo: uno menos que el número total de HSM del clúster

Si se produce un error en la sincronización del lado del cliente, el servicio del cliente elimina las claves no deseadas que puedan haberse creado y que ahora no son necesarias. Esta limpieza es la respuesta más sencilla y puede que no siempre funcione. Si la limpieza no se realiza correctamente, es posible que tenga que eliminar el material de clave no deseado. Para obtener más información, consulte Errores de sincronización de claves.

Configuración del archivo de configuración para garantizar la durabilidad de la clave del cliente

Para especificar la configuración de durabilidad de la clave del cliente, debe editar cloudhsm_client.cfg.

Cómo editar el archivo de configuración del cliente

  1. Abra cloudhsm_client.cfg.

    Linux:

    /opt/cloudhsm/etc/cloudhsm_client.cfg

    Windows:

    C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

  2. En el nodo client del archivo, añada create_object_minimum_nodes y especifique un valor del número mínimo de HSM en los que AWS CloudHSM debe crear correctamente las claves para que las operaciones de creación de claves se realicen correctamente.

    "create_object_minimum_nodes" : 2
    nota

    La herramienta de línea de comandos key_mgmt_util (KMU) tiene una configuración adicional para la durabilidad de las claves de cliente. Para obtener más información, consulte KMU y sincronización del lado del cliente

Referencia de la configuración

Estas son las propiedades de sincronización del lado del cliente, que se muestran en un extracto del cloudhsm_client.cfg:

{
    "client": {
        "create_object_minimum_nodes" : 2,
        ...
    },
    
    ...
}
create_object_minimum_nodes

Especifica el número mínimo de HSM necesarios para considerar que las operaciones de generación, importación o desencapsulamiento de claves se han realizado correctamente. Si está establecido, el valor predeterminado es 1. Esto significa que, para cada operación de creación de claves, el servicio del cliente intenta crear claves en todos los HSM del clúster, pero para que se realice correctamente, solo necesita crear una clave única en un HSM del clúster.

KMU y sincronización del lado del cliente

Si crea claves con la herramienta de línea de comandos key_mgmt_util (KMU), utilizará un parámetro de línea de comandos opcional (-min_srv) para limitar el número de HSM en los que clonar las claves. Si especifica el parámetro de línea de comandos y un valor en el archivo de configuración, AWS CloudHSM respeta el MAYOR de los dos valores.

Para obtener más información, consulte los temas siguientes: