Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Cambie la configuración de durabilidad de las claves AWS CloudHSM del cliente

PDF
RSS
Modo de enfoque
Cambie la configuración de durabilidad de las claves AWS CloudHSM del cliente - AWS CloudHSM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

La sincronización de claves es, en su mayoría, un proceso automático, pero puede gestionar la configuración de durabilidad de las claves del lado del cliente. La configuración de durabilidad de las claves del lado del cliente funciona de forma diferente en SDK 5 de cliente y SDK 3 de cliente.

  • En Client SDK 5, presentamos el concepto de quórumes de disponibilidad clave, que requiere ejecutar clústeres con un mínimo de dos. HSMs Puede utilizar la configuración de durabilidad clave del lado del cliente para excluirse del requisito de los dos HSM. Para obtener más información sobre los cuórums, consulte Conceptos de SDK 5 de cliente.

  • En Client SDK 3, se utilizan los ajustes de durabilidad de las claves del lado del cliente para especificar el número de HSMs claves que deben crearse correctamente para que la operación general se considere un éxito.

En SDK 5 de cliente, la sincronización de claves es un proceso totalmente automático. Con el quórum de disponibilidad de claves, las claves recién creadas deben existir HSMs en dos unidades del clúster para que la aplicación pueda utilizarlas. Para utilizar el quórum de disponibilidad de claves, el clúster debe tener un mínimo de dos. HSMs

Si la configuración del clúster no cumple los requisitos de durabilidad clave, cualquier intento de crear o utilizar una clave simbólica fallará y aparecerá el siguiente mensaje de error en los registros:

Key <key handle> does not meet the availability requirements - The key must be available on at least 2 HSMs before being used.

Puede usar los ajustes de configuración del cliente para excluirse del cuórum de disponibilidad de claves. Por ejemplo, puede optar por no ejecutar un clúster con un solo HSM.

Conceptos de SDK 5 de cliente

Cuórum de disponibilidad de claves

AWS CloudHSM especifica el número de elementos de HSMs un clúster en los que deben existir las claves para que la aplicación pueda utilizarlas. Requiere clústeres con un mínimo de dos HSMs.

Gestión de la configuración de durabilidad de la clave del cliente

Para administrar la configuración de durabilidad de las claves del cliente, debe utilizar la herramienta de configuración de SDK 5 de cliente.

PKCS #11 library
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Linux

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Windows

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
OpenSSL Dynamic Engine
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Linux

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
Key Storage Provider (KSP)
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Windows

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --disable-key-availability-check
JCE provider
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Linux

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Windows

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
CloudHSM CLI
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Linux

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Windows

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check

Configuración de durabilidad de las claves de cliente de SDK 5 de cliente

En SDK 5 de cliente, la sincronización de claves es un proceso totalmente automático. Con el quórum de disponibilidad de claves, las claves recién creadas deben existir HSMs en dos unidades del clúster para que la aplicación pueda utilizarlas. Para utilizar el quórum de disponibilidad de claves, el clúster debe tener un mínimo de dos. HSMs

Si la configuración del clúster no cumple los requisitos de durabilidad clave, cualquier intento de crear o utilizar una clave simbólica fallará y aparecerá el siguiente mensaje de error en los registros:

Key <key handle> does not meet the availability requirements - The key must be available on at least 2 HSMs before being used.

Puede usar los ajustes de configuración del cliente para excluirse del cuórum de disponibilidad de claves. Por ejemplo, puede optar por no ejecutar un clúster con un solo HSM.

Conceptos de SDK 5 de cliente

Cuórum de disponibilidad de claves

AWS CloudHSM especifica el número de elementos de HSMs un clúster en los que deben existir las claves para que la aplicación pueda utilizarlas. Requiere clústeres con un mínimo de dos HSMs.

Gestión de la configuración de durabilidad de la clave del cliente

Para administrar la configuración de durabilidad de las claves del cliente, debe utilizar la herramienta de configuración de SDK 5 de cliente.

PKCS #11 library
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Linux

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Windows

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
OpenSSL Dynamic Engine
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Linux

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
Key Storage Provider (KSP)
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Windows

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --disable-key-availability-check
JCE provider
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Linux

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Windows

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
CloudHSM CLI
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Linux

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Windows

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check
anchoranchoranchoranchoranchor
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Linux

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
Cómo deshabilitar la durabilidad de la clave de cliente para SDK 5 de cliente en Windows

  • Use la herramienta de configuración para deshabilitar los ajustes de durabilidad de las claves de cliente. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check

En SDK 3 de cliente, la sincronización de claves es en su mayoría un proceso automático, pero puede usar la configuración de durabilidad de las claves del cliente para aumentar la durabilidad de las claves. Debe especificar el número de claves HSMs en el que la creación de claves debe realizarse correctamente para que la operación general se considere exitosa. La sincronización del lado del cliente siempre hace todo lo posible por clonar las claves de todos los HSM del clúster, independientemente de la configuración que elija. La configuración exige la creación de claves en el número HSMs que especifique. Si especificas un valor y el sistema no puede replicar la clave hasta ese número HSMs, el sistema eliminará automáticamente el material clave no deseado y podrás volver a intentarlo.

importante

Si no establece la configuración de durabilidad de las claves del cliente (o si usa el valor predeterminado de 1), sus claves son vulnerables a la pérdida. Si su HSM actual falla antes de que el servicio del servidor haya clonado esa clave en otro HSM, perderá el material de la clave.

Para maximizar la durabilidad de las claves, considere la posibilidad de especificar al menos dos HSMs para la sincronización del lado del cliente. Recuerde que, independientemente del número que HSMs especifique, la carga de trabajo del clúster sigue siendo la misma. La sincronización del lado del cliente siempre hace todo lo posible por clonar las claves de todos los HSM del clúster.

Recomendaciones

  • Mínimo: dos HSMs por clúster

  • Máximo: uno menos que el número total HSMs de miembros del clúster

Si se produce un error en la sincronización del lado del cliente, el servicio del cliente elimina las claves no deseadas que puedan haberse creado y que ahora no son necesarias. Esta limpieza es la respuesta más sencilla y puede que no siempre funcione. Si la limpieza no se realiza correctamente, es posible que tenga que eliminar el material de clave no deseado. Para obtener más información, consulte Errores de sincronización de claves.

Configuración del archivo de configuración para garantizar la durabilidad de la clave del cliente

Para especificar la configuración de durabilidad de la clave del cliente, debe editar cloudhsm_client.cfg.

Cómo editar el archivo de configuración del cliente

  1. Abra cloudhsm_client.cfg.

    Linux:

    /opt/cloudhsm/etc/cloudhsm_client.cfg

    Windows:

    C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

  2. En el client nodo del archivo, añada create_object_minimum_nodes y especifique un valor para el número mínimo de HSMs claves que se AWS CloudHSM deben crear correctamente para que las operaciones de creación de claves se realicen correctamente.

    "create_object_minimum_nodes" : 2
    nota

    La herramienta de línea de comandos key_mgmt_util (KMU) tiene una configuración adicional para la durabilidad de las claves de cliente. Para obtener más información, consulte KMU y sincronización del lado del cliente

Referencia de la configuración

Estas son las propiedades de sincronización del lado del cliente, que se muestran en un extracto del cloudhsm_client.cfg:

{
    "client": {
        "create_object_minimum_nodes" : 2,
        ...
    },
    
    ...
}
create_object_minimum_nodes

Especifica el número mínimo de operaciones HSMs necesarias para considerar que las operaciones de generación, importación o desempaquetado de claves se han realizado correctamente. Si está establecido, el valor predeterminado es 1. Esto significa que, para cada operación de creación de claves, el servicio del cliente intenta crear claves en todos los HSM del clúster, pero para que se realice correctamente, solo necesita crear una clave única en un HSM del clúster.

KMU y sincronización del lado del cliente

Si crea claves con la herramienta de línea de comandos key_mgmt_util (KMU), utilizará un parámetro de línea de comandos opcional (-min_srv) para limitar el número de claves en las que se pueden clonar. HSMs Si especifica el parámetro de línea de comandos y un valor en el archivo de configuración, respeta el mayor de los dos valores. AWS CloudHSM

Para obtener más información, consulte los temas siguientes:

En SDK 3 de cliente, la sincronización de claves es en su mayoría un proceso automático, pero puede usar la configuración de durabilidad de las claves del cliente para aumentar la durabilidad de las claves. Debe especificar el número de claves HSMs en el que la creación de claves debe realizarse correctamente para que la operación general se considere exitosa. La sincronización del lado del cliente siempre hace todo lo posible por clonar las claves de todos los HSM del clúster, independientemente de la configuración que elija. La configuración exige la creación de claves en el número HSMs que especifique. Si especificas un valor y el sistema no puede replicar la clave hasta ese número HSMs, el sistema eliminará automáticamente el material clave no deseado y podrás volver a intentarlo.

importante

Si no establece la configuración de durabilidad de las claves del cliente (o si usa el valor predeterminado de 1), sus claves son vulnerables a la pérdida. Si su HSM actual falla antes de que el servicio del servidor haya clonado esa clave en otro HSM, perderá el material de la clave.

Para maximizar la durabilidad de las claves, considere la posibilidad de especificar al menos dos HSMs para la sincronización del lado del cliente. Recuerde que, independientemente del número que HSMs especifique, la carga de trabajo del clúster sigue siendo la misma. La sincronización del lado del cliente siempre hace todo lo posible por clonar las claves de todos los HSM del clúster.

Recomendaciones

  • Mínimo: dos HSMs por clúster

  • Máximo: uno menos que el número total HSMs de miembros del clúster

Si se produce un error en la sincronización del lado del cliente, el servicio del cliente elimina las claves no deseadas que puedan haberse creado y que ahora no son necesarias. Esta limpieza es la respuesta más sencilla y puede que no siempre funcione. Si la limpieza no se realiza correctamente, es posible que tenga que eliminar el material de clave no deseado. Para obtener más información, consulte Errores de sincronización de claves.

Configuración del archivo de configuración para garantizar la durabilidad de la clave del cliente

Para especificar la configuración de durabilidad de la clave del cliente, debe editar cloudhsm_client.cfg.

Cómo editar el archivo de configuración del cliente

  1. Abra cloudhsm_client.cfg.

    Linux:

    /opt/cloudhsm/etc/cloudhsm_client.cfg

    Windows:

    C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

  2. En el client nodo del archivo, añada create_object_minimum_nodes y especifique un valor para el número mínimo de HSMs claves que se AWS CloudHSM deben crear correctamente para que las operaciones de creación de claves se realicen correctamente.

    "create_object_minimum_nodes" : 2
    nota

    La herramienta de línea de comandos key_mgmt_util (KMU) tiene una configuración adicional para la durabilidad de las claves de cliente. Para obtener más información, consulte KMU y sincronización del lado del cliente

Referencia de la configuración

Estas son las propiedades de sincronización del lado del cliente, que se muestran en un extracto del cloudhsm_client.cfg:

{
    "client": {
        "create_object_minimum_nodes" : 2,
        ...
    },
    
    ...
}
create_object_minimum_nodes

Especifica el número mínimo de operaciones HSMs necesarias para considerar que las operaciones de generación, importación o desempaquetado de claves se han realizado correctamente. Si está establecido, el valor predeterminado es 1. Esto significa que, para cada operación de creación de claves, el servicio del cliente intenta crear claves en todos los HSM del clúster, pero para que se realice correctamente, solo necesita crear una clave única en un HSM del clúster.

KMU y sincronización del lado del cliente

Si crea claves con la herramienta de línea de comandos key_mgmt_util (KMU), utilizará un parámetro de línea de comandos opcional (-min_srv) para limitar el número de claves en las que se pueden clonar. HSMs Si especifica el parámetro de línea de comandos y un valor en el archivo de configuración, respeta el mayor de los dos valores. AWS CloudHSM

Para obtener más información, consulte los temas siguientes:

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.