Limitation du HSM - AWS CloudHSM
Résolution

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Limitation du HSM

Lorsque votre charge de travail dépasse la capacité HSM de votre cluster, vous recevez des messages d'erreur indiquant que les HSM sont occupés ou limités. Dans ce cas, vous pouvez constater une réduction du débit ou une augmentation du taux de rejet des demandes de la part des HSM. En outre, les HSM peuvent envoyer les erreurs d'occupation suivantes.

  • Dans PKCS11, les erreurs d'occupation correspondent à CKR_FUNCTION_FAILED. Cette erreur peut se produire pour plusieurs raisons, mais si la limitation HSM est à l'origine de cette erreur, les lignes de journal suivantes apparaîtront dans votre journal :

    • [cloudhsm_provider::hsm1::hsm_connection::e2e_encryption::error] Failed to prepare E2E response. Error: Received error response code from Server. Response Code: 187

    • [cloudhsm_pkcs11::decryption::aes_gcm] Received error from the server. Error: This operation is already in progress. Internal error code: 0x000000BB

  • Dans JCE, les erreurs d'occupation correspondent à com.amazonaws.cloudhsm.jce.jni.exception.InternalException: Unexpected error with the Provider: The HSM could not queue the request for processing.

  • Les erreurs d'occupation des autres SDK impriment le message suivant : Received error response code from Server. Response Code: 187.

  • Dans PKCS11, les erreurs d'occupation sont associées à des erreurs CKR_OPERATION_ACTIVE.

  • Dans JCE, les erreurs d'occupation correspondent à CFM2Exception avec l'état de 0xBB (187). Les applications peuvent utiliser la fonction getStatus() sur CFM2Exception pour vérifier l'état renvoyé par le HSM.

  • Les autres erreurs liées à l'état d'occupation du SDK entraîneront l'affichage du message suivant : HSM Error: HSM is already busy generating the keys(or random bytes) for another request.

Résolution

Vous pouvez résoudre ces problèmes en prenant une ou plusieurs des mesures suivantes :

  • Ajoutez des commandes de nouvelle tentative pour les opérations HSM rejetées dans votre couche d'application. Avant d'activer les commandes de nouvelle tentative, assurez-vous que votre cluster est correctement dimensionné pour répondre aux pics de charge.

    Note

    Pour le SDK client 5.8.0 et versions ultérieures, les commandes de nouvelle tentative sont activées par défaut. Pour plus de détails sur la configuration de la commande de nouvelle tentative de chaque SDK, reportez-vous à Configurations avancées pour l'outil de configuration du SDK client 5.

  • Ajoutez d'autres HSM à votre cluster en suivant les instructions de Ajouter ou supprimer des HSM dans un cluster AWS CloudHSM.

    Important

    Nous vous recommandons de tester la charge de votre cluster pour déterminer le pic de charge auquel vous devez vous attendre, puis d'y ajouter un ou plusieurs HSM supplémentaires pour garantir une haute disponibilité.