Modifica le impostazioni di durabilità delle AWS CloudHSM chiavi del client - AWS CloudHSM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Modifica le impostazioni di durabilità delle AWS CloudHSM chiavi del client

La sincronizzazione delle chiavi è un processo prevalentemente automatico, ma è possibile gestire le impostazioni di durabilità delle chiavi lato client. Le impostazioni di durabilità delle chiavi lato client funzionano in modo diverso nel Client SDK 5 e nel Client SDK 3.

  • Nel Client SDK 5, introduciamo il concetto di quorum di disponibilità delle chiavi, che richiede l'esecuzione di cluster con un minimo di due. HSMs È possibile utilizzare le impostazioni di durabilità delle chiavi sul lato client per disattivare i due requisiti. HSM Per ulteriori informazioni sui quorum, consulta la pagina Concetti del Client SDK 5.

  • Nel Client SDK 3, si utilizzano le impostazioni di durabilità delle chiavi lato client per specificare il numero di volte HSMs in cui la creazione della chiave deve avere successo affinché l'intera operazione sia considerata riuscita.

In Client SDK 5, la sincronizzazione delle chiavi è un processo completamente automatico. Con il quorum di disponibilità delle chiavi, le nuove chiavi create devono esistere su due HSMs nel cluster prima che l'applicazione possa utilizzare la chiave. Per utilizzare il quorum di disponibilità delle chiavi, il cluster deve avere un minimo di due. HSMs

Se la configurazione del cluster non soddisfa i requisiti di durabilità delle chiavi, qualsiasi tentativo di creare o utilizzare una chiave token avrà esito negativo e nei log verrà visualizzato il seguente messaggio di errore:

Key <key handle> does not meet the availability requirements - The key must be available on at least 2 HSMs before being used.

È possibile utilizzare le impostazioni di configurazione del client per disattivare il quorum di disponibilità delle chiavi. Ad esempio, potresti voler disattivare l'esecuzione di un cluster con un singolo HSM cluster.

Concetti del Client SDK 5

Quorum di disponibilità delle chiavi

AWS CloudHSM specifica il numero di chiavi HSMs in un cluster su cui devono esistere le chiavi prima che l'applicazione possa utilizzare la chiave. Richiede cluster con un minimo di due. HSMs

Gestire le impostazioni di durabilità delle chiavi del client

Per gestire le impostazioni di durabilità delle chiavi del client, è necessario utilizzare lo strumento di configurazione per il Client SDK 5.

PKCS #11 library
Per disabilitare la durabilità delle chiavi client per Client SDK 5 su Linux

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
Per disabilitare la durabilità delle chiavi client per Client SDK 5 su Windows

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
OpenSSL Dynamic Engine
Per disabilitare la durabilità delle chiavi client per il Client SDK 5 su Linux

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
JCE provider
Per disabilitare la durabilità delle chiavi client per il Client SDK 5 su Linux

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
Per disabilitare la durabilità delle chiavi client per Client SDK 5 su Windows

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
CloudHSM CLI
Per disabilitare la durabilità delle chiavi client per il Client SDK 5 su Linux

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
Per disabilitare la durabilità delle chiavi client per Client SDK 5 su Windows

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check

Nel Client SDK 3, la sincronizzazione delle chiavi è principalmente un processo automatico, ma è possibile utilizzare le impostazioni di durabilità delle chiavi client per rendere le chiavi più durevoli. È necessario specificare il numero di HSMs volte in cui la creazione della chiave deve avere successo affinché l'intera operazione sia considerata riuscita. La sincronizzazione lato client fa sempre del suo meglio per clonare le chiavi su tutti i HSM componenti del cluster, indipendentemente dall'impostazione scelta. L'impostazione impone la creazione delle chiavi in base al numero specificato. HSMs Se si specifica un valore e il sistema non è in grado di replicare la chiave fino a quel numero diHSMs, il sistema rimuove automaticamente il materiale indesiderato relativo alla chiave e si può riprovare.

Importante

Se non vengono configurate le impostazioni di durabilità delle chiavi del client (o se si utilizza il valore predefinito 1), le chiavi sono vulnerabili alla perdita. Se la chiave corrente HSM dovesse fallire prima che il servizio lato server abbia clonato quella chiave su un'altraHSM, perderai il materiale della chiave.

Per massimizzare la durabilità delle chiavi, è consigliabile specificarne almeno due per la sincronizzazione lato client. HSMs Ricorda che, indipendentemente dal numero HSMs specificato, il carico di lavoro sul cluster rimane lo stesso. La sincronizzazione lato client fa sempre del suo meglio per clonare le chiavi su tutti i componenti del cluster. HSM

Raccomandazioni

  • Minimo: due per cluster HSMs

  • Massimo: uno in meno rispetto al numero totale HSMs di membri del cluster

Se la sincronizzazione lato client dà errore, il servizio client pulisce tutte le chiavi indesiderate che potrebbero essere state create e che sono ora indesiderate. La pulizia viene eseguita al massimo delle capacità e potrebbe non sempre funzionare. Se pulizia non riesce, potrebbe essere necessario eliminare il materiale della chiave indesiderato. Per ulteriori informazioni, consulta la pagina Errori di sincronizzazione delle chiavi.

Impostare il file di configurazione per la durabilità delle chiavi del client

Per specificare le impostazioni di durabilità delle chiavi del client, è necessario modificare cloudhsm_client.cfg.

Per modificare il file di configurazione del client

  1. Aprire cloudhsm_client.cfg.

    Linux:

    /opt/cloudhsm/etc/cloudhsm_client.cfg

    Windows:

    C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

  2. Nel client nodo del file, aggiungi create_object_minimum_nodes e specifica un valore per il numero minimo di HSMs on su cui AWS CloudHSM devono creare correttamente le chiavi affinché le operazioni di creazione delle chiavi abbiano esito positivo.

    "create_object_minimum_nodes" : 2
    Nota

    Lo strumento da riga di comando key_mgmt_util (KMU) ha un'impostazione aggiuntiva per la durabilità delle chiavi del client. Per ulteriori informazioni, consulta KMUe sincronizzazione lato client

Informazioni di riferimento sulla configurazione

A seguire sono mostrate le proprietà di sincronizzazione lato client, in un estratto di cloudhsm_client.cfg:

{
    "client": {
        "create_object_minimum_nodes" : 2,
        ...
    },
    
    ...
}
create_object_minimum_nodes

Speciifica il numero minimo di operazioni HSMs necessarie per ritenere che la generazione di chiavi, l'importazione di chiavi o le operazioni di apertura delle chiavi siano state eseguite con successo. Se impostato, il valore predefinito è "1". Ciò significa che per ogni operazione di creazione di chiavi, il servizio lato client tenta di creare chiavi su ogni HSM elemento del cluster, ma per restituire un'operazione riuscita, deve solo creare una sola chiave su una delle parti del cluster. HSM

KMUe sincronizzazione lato client

Se create chiavi con lo strumento da riga di comando key_mgmt_util (KMU), utilizzate un parametro opzionale della riga di comando (-min_srv) per limitare il numero di chiavi su cui clonare. HSMs Se specificate il parametro della riga di comando e un valore nel file di configurazione, rispetta i due valori. AWS CloudHSM LARGER

Per ulteriori informazioni, consulta i seguenti argomenti: