Modifier les paramètres de durabilité des clés du AWS CloudHSM client - AWS CloudHSM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Modifier les paramètres de durabilité des clés du AWS CloudHSM client

La synchronisation des clés est principalement un processus automatique, mais vous pouvez gérer les paramètres de durabilité des clés côté client. Les paramètres de durabilité des clés côté client fonctionnent différemment dans le client SDK 5 et dans le client SDK 3.

  • Dans Client SDK 5, nous introduisons le concept de quorums de disponibilité des clés, qui vous oblige à exécuter des clusters avec un minimum de deux. HSMs Vous pouvez utiliser les paramètres de durabilité des clés côté client pour vous soustraire à ces deux HSM exigences. Pour plus d'informations sur les quorums, veuillez consulter SDKCinq concepts pour les clients.

  • Dans Client SDK 3, vous utilisez les paramètres de durabilité des clés côté client pour spécifier le nombre de HSMs clés à partir desquelles la création de clés doit réussir pour que l'opération globale soit considérée comme réussie.

Dans Client SDK 5, la synchronisation des touches est un processus entièrement automatique. Dans le cas d'un quorum de disponibilité des clés, les clés nouvellement créées doivent exister sur deux HSMs dans le cluster pour que votre application puisse utiliser la clé. Pour utiliser le quorum de disponibilité des clés, votre cluster doit en avoir au moins deuxHSMs.

Si la configuration de votre cluster ne répond pas aux principales exigences de durabilité, toute tentative de création ou d'utilisation d'une clé de jeton échouera avec le message d'erreur suivant dans les journaux :

Key <key handle> does not meet the availability requirements - The key must be available on at least 2 HSMs before being used.

Vous pouvez utiliser les paramètres de configuration du client pour désactiver le quorum de disponibilité des clés. Vous pouvez choisir de ne pas exécuter un cluster avec un seulHSM, par exemple.

SDKCinq concepts pour les clients

Quorum de disponibilité des clés

AWS CloudHSM indique le nombre de clés HSMs dans un cluster sur lesquelles votre application doit exister pour que votre application puisse utiliser la clé. Nécessite des clusters d'au moins deuxHSMs.

Gestion des paramètres de durabilité des clés du client

Pour gérer les paramètres de durabilité des clés client, vous devez utiliser l'outil de configuration pour Client SDK 5.

PKCS #11 library
Pour désactiver la durabilité de la clé client pour Client SDK 5 sous Linux

  • Utilisez l'outil de configuration pour désactiver les paramètres de durabilité de la clé du client. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
Pour désactiver la durabilité de la clé client pour Client SDK 5 sous Windows

  • Utilisez l'outil de configuration pour désactiver les paramètres de durabilité de la clé du client. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
OpenSSL Dynamic Engine
Pour désactiver la durabilité de la clé client pour Client SDK 5 sous Linux

  • Utilisez l'outil de configuration pour désactiver les paramètres de durabilité de la clé du client. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
JCE provider
Pour désactiver la durabilité de la clé client pour Client SDK 5 sous Linux

  • Utilisez l'outil de configuration pour désactiver les paramètres de durabilité de la clé du client. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
Pour désactiver la durabilité de la clé client pour Client SDK 5 sous Windows

  • Utilisez l'outil de configuration pour désactiver les paramètres de durabilité de la clé du client. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
CloudHSM CLI
Pour désactiver la durabilité de la clé client pour Client SDK 5 sous Linux

  • Utilisez l'outil de configuration pour désactiver les paramètres de durabilité de la clé du client. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
Pour désactiver la durabilité de la clé client pour Client SDK 5 sous Windows

  • Utilisez l'outil de configuration pour désactiver les paramètres de durabilité de la clé du client. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check

Dans le Client SDK 3, la synchronisation des clés est essentiellement un processus automatique, mais vous pouvez utiliser les paramètres de durabilité des clés du client pour améliorer la durabilité des clés. Vous spécifiez le nombre de clés HSMs sur lesquelles la création de clés doit réussir pour que l'opération globale soit considérée comme réussie. La synchronisation côté client s'efforce toujours de cloner les clés de chaque HSM élément du cluster, quel que soit le paramètre que vous choisissez. Votre paramètre impose la création de clés au nombre que HSMs vous spécifiez. Si vous spécifiez une valeur et que le système ne peut pas répliquer la clé à ce nombre deHSMs, le système nettoie automatiquement tout contenu de clé indésirable et vous pouvez réessayer.

Important

Si vous ne définissez pas les paramètres de durabilité des clés client (ou si vous utilisez la valeur par défaut de 1), vos clés risquent de se perdre. Si votre clé actuelle HSM tombe en panne avant que le service côté serveur n'ait cloné cette clé sur une autreHSM, vous perdez le contenu de la clé.

Pour optimiser la durabilité des clés, pensez à en spécifier au moins deux HSMs pour la synchronisation côté client. N'oubliez pas que quel que soit le nombre HSMs que vous spécifiez, la charge de travail de votre cluster reste la même. La synchronisation côté client s'efforce toujours de cloner les clés de chaque HSM élément du cluster.

Recommandations

  • Minimum : deux HSMs par cluster

  • Maximum : un de moins que le nombre total de HSMs membres de votre cluster

Si la synchronisation côté client échoue, le service client nettoie toutes les clés indésirables qui ont pu être créées et qui le sont désormais. Ce nettoyage est une solution au mieux qui ne fonctionne pas toujours. Si le nettoyage échoue, il se peut que vous deviez supprimer les éléments de clés indésirables. Pour de plus amples informations, veuillez consulter Échecs de synchronisation des clés.

Configuration du fichier de configuration pour la durabilité de la clé client

Pour définir les paramètres de durabilité de la clé client, vous devez modifier cloudhsm_client.cfg.

Pour modifier le fichier de configuration du client

  1. Ouvrir cloudhsm_client.cfg.

    Linux :

    /opt/cloudhsm/etc/cloudhsm_client.cfg

    Windows:

    C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

  2. Dans le client nœud du fichier, ajoutez create_object_minimum_nodes et spécifiez une valeur pour le nombre minimum de HSMs clés qui AWS CloudHSM doivent être créées avec succès pour que les opérations de création de clés réussissent.

    "create_object_minimum_nodes" : 2
    Note

    L'outil de ligne de commande key_mgmt_util (KMU) dispose d'un paramètre supplémentaire pour la durabilité de la clé client. Pour plus d’informations, consultez KMUet synchronisation côté client.

Référence de configuration

Voici les propriétés de synchronisation côté client, présentées dans un extrait du cloudhsm_client.cfg :

{
    "client": {
        "create_object_minimum_nodes" : 2,
        ...
    },
    
    ...
}
create_object_minimum_nodes

Spécifie le nombre minimum d'opérations HSMs requises pour que les opérations de génération, d'importation ou de déballage de clés soient considérées comme réussies. Si elle est défini, la valeur par défaut est 1. Cela signifie que pour chaque opération de création de clé, le service côté client tente de créer des clés sur chaque HSM élément du cluster, mais pour réussir, il suffit de créer une seule clé sur un élément du cluster. HSM

KMUet synchronisation côté client

Si vous créez des clés à l'aide de l'outil de ligne de commande key_mgmt_util (KMU), vous utilisez un paramètre de ligne de commande facultatif (-min_srv) pour limiter le nombre de clés à cloner. HSMs Si vous spécifiez le paramètre de ligne de commande et une valeur dans le fichier de configuration, respectez AWS CloudHSM l'une LARGER des deux valeurs.

Pour plus d’informations, consultez les rubriques suivantes :