HSMétranglement - AWS CloudHSM
Résolution

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

HSMétranglement

Lorsque votre charge de travail dépasse la capacité du module de sécurité matériel (HSM) de votre AWS CloudHSM cluster, vous recevez des messages d'erreur indiquant HSMs que le module est occupé ou limité. Dans ce cas, vous pouvez constater une réduction du débit ou une augmentation du taux de rejet de demandes de la part deHSMs. En outre, HSMs cela peut envoyer les erreurs d'occupation suivantes.

  • DansPKCS11, les erreurs de type « occupé » correspondent àCKR_FUNCTION_FAILED. Cette erreur peut se produire pour plusieurs raisons, mais si la régulation HSM est à l'origine de cette erreur, les lignes de journal suivantes apparaîtront dans votre journal :

    • [cloudhsm_provider::hsm1::hsm_connection::e2e_encryption::error] Failed to prepare E2E response. Error: Received error response code from Server. Response Code: 187

    • [cloudhsm_pkcs11::decryption::aes_gcm] Received error from the server. Error: This operation is already in progress. Internal error code: 0x000000BB

  • DansJCE, les erreurs liées à la charge sont associées à com.amazonaws.cloudhsm.jce.jni.exception.InternalException: Unexpected error with the Provider: The HSM could not queue the request for processing.

  • Les autres erreurs SDKs « occupé » affichent le message suivant :Received error response code from Server. Response Code: 187.

  • DansPKCS11, les erreurs occupées sont associées à CKR_OPERATION_ACTIVE des erreurs.

  • DansJCE, les erreurs d'occupation correspondent CFM2Exception à l'état de0xBB (187). Les applications peuvent utiliser getStatus() la fonction CFM2Exception activée pour vérifier quel statut est renvoyé par leHSM.

  • Les autres SDKs erreurs d'occupation entraîneront l'impression du message suivant : HSM Error: HSM is already busy generating the keys(or random bytes) for another request.

Résolution

Vous pouvez résoudre ces problèmes en prenant une ou plusieurs des mesures suivantes :

  • Ajoutez des commandes de nouvelle tentative pour les HSM opérations rejetées dans votre couche d'application. Avant d'activer les commandes de nouvelle tentative, assurez-vous que votre cluster est correctement dimensionné pour répondre aux pics de charge.

    Note

    Pour Client SDK 5.8.0 et versions ultérieures, les commandes de nouvelle tentative sont activées par défaut. Pour plus de détails sur la configuration SDK de chaque commande de nouvelle tentative, reportez-vous àConfigurations avancées pour l'outil de configuration Client SDK 5.

  • Ajoutez d'autres éléments HSMs à votre cluster en suivant les instructions deMise à l'échelle HSMs dans un AWS CloudHSM cluster.

    Important

    Nous vous recommandons de tester la charge de votre cluster afin de déterminer le pic de charge auquel vous devez vous attendre, puis d'HSMen ajouter un autre pour garantir une haute disponibilité.