Modifica le impostazioni di durabilità delle AWS CloudHSM chiavi del client - AWS CloudHSM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Modifica le impostazioni di durabilità delle AWS CloudHSM chiavi del client

La sincronizzazione delle chiavi è un processo prevalentemente automatico, ma è possibile gestire le impostazioni di durabilità delle chiavi lato client. Il funzionamento delle impostazioni di durabilità delle chiavi lato client è diverso in Client SDK 5 e Client SDK 3.

  • In Client SDK 5, introduciamo il concetto di quorum di disponibilità delle chiavi, che richiede l'esecuzione di cluster con un minimo di due. HSMs È possibile modificare le impostazioni di durabilità delle chiavi lato client per disattivare il requisito di utilizzo di due HSM. Per ulteriori informazioni sui quorum, consulta la pagina Concetti relativi a Client SDK 5.

  • In Client SDK 3, si utilizzano le impostazioni di durabilità delle chiavi sul lato client per specificare il numero di chiavi HSMs su cui la creazione della chiave deve avere successo affinché l'intera operazione sia considerata riuscita.

In Client SDK 5, la sincronizzazione delle chiavi è un processo completamente automatico. Con il quorum di disponibilità delle chiavi, è necessario che le nuove chiavi create esistano su due HSMs nel cluster prima che l'applicazione possa utilizzare la chiave. Per utilizzare il quorum di disponibilità delle chiavi, il cluster deve avere un minimo di due. HSMs

Se la configurazione del cluster non soddisfa i requisiti di durabilità delle chiavi, qualsiasi tentativo di creare o utilizzare una chiave token avrà esito negativo e nei log verrà visualizzato il seguente messaggio di errore:

Key <key handle> does not meet the availability requirements - The key must be available on at least 2 HSMs before being used.

È possibile utilizzare le impostazioni di configurazione del client per disattivare il quorum di disponibilità delle chiavi. Ad esempio, potresti volerlo disattivare per eseguire un cluster con un singolo HSM.

Concetti relativi a Client SDK 5

Quorum di disponibilità delle chiavi

AWS CloudHSM specifica il numero di chiavi HSMs in un cluster su cui devono esistere le chiavi prima che l'applicazione possa utilizzare la chiave. Richiede cluster con un minimo di due. HSMs

Gestire le impostazioni di durabilità delle chiavi del client

Per gestire le impostazioni di durabilità delle chiavi del client è necessario utilizzare lo strumento di configurazione per Client SDK 5.

PKCS #11 library
Per disabilitare la durabilità delle chiavi del client per Client SDK 5 su Linux

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
Per disabilitare la durabilità delle chiavi del client per Client SDK 5 su Windows

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
OpenSSL Dynamic Engine
Per disabilitare la durabilità delle chiavi del client per Client SDK 5 su Linux

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
Key Storage Provider (KSP)
Per disabilitare la durabilità delle chiavi del client per Client SDK 5 su Windows

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --disable-key-availability-check
JCE provider
Per disabilitare la durabilità delle chiavi del client per Client SDK 5 su Linux

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
Per disabilitare la durabilità delle chiavi del client per Client SDK 5 su Windows

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
CloudHSM CLI
Per disabilitare la durabilità delle chiavi del client per Client SDK 5 su Linux

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
Per disabilitare la durabilità delle chiavi del client per Client SDK 5 su Windows

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check

In Client SDK 3, la sincronizzazione delle chiavi è un processo prevalentemente automatico, ma è possibile incrementare la durabilità delle chiavi tramite le impostazioni di durabilità delle chiavi del client. È necessario specificare il numero di chiavi HSMs in base al quale la creazione della chiave deve avere esito positivo affinché l'intera operazione sia considerata riuscita. La sincronizzazione lato client tenta sempre, al massimo delle proprie capacità, di clonare le chiavi su ogni HSM del cluster, indipendentemente dall'impostazione scelta. L'impostazione imposta la creazione delle chiavi in base al numero HSMs specificato. Se si specifica un valore e il sistema non è in grado di replicare la chiave fino a quel numero di HSMs, il sistema rimuove automaticamente il materiale indesiderato relativo alla chiave e si può riprovare.

Importante

Se non vengono configurate le impostazioni di durabilità delle chiavi del client (o se si utilizza il valore predefinito 1), le chiavi sono vulnerabili alla perdita. Se l'HSM attuale dovesse dare errore prima che il servizio lato server abbia clonato la chiave su un altro HSM, il materiale della chiave andrà perso.

Per massimizzare la durabilità delle chiavi, è consigliabile specificarne almeno due HSMs per la sincronizzazione lato client. Ricorda che, indipendentemente dal numero HSMs specificato, il carico di lavoro sul cluster rimane lo stesso. La sincronizzazione lato client tenta sempre, al massimo delle proprie capacità, di clonare le chiavi su ogni HSM del cluster.

Raccomandazioni

  • Minimo: due HSMs per cluster

  • Massimo: uno in meno rispetto al numero totale HSMs di membri del cluster

Se la sincronizzazione lato client dà errore, il servizio client pulisce tutte le chiavi indesiderate che potrebbero essere state create e che sono ora indesiderate. La pulizia viene eseguita al massimo delle capacità e potrebbe non sempre funzionare. Se pulizia non riesce, potrebbe essere necessario eliminare il materiale della chiave indesiderato. Per ulteriori informazioni, consulta la pagina Errori di sincronizzazione delle chiavi.

Impostare il file di configurazione per la durabilità delle chiavi del client

Per specificare le impostazioni di durabilità delle chiavi del client, è necessario modificare cloudhsm_client.cfg.

Per modificare il file di configurazione del client

  1. Aprire cloudhsm_client.cfg.

    Linux:

    /opt/cloudhsm/etc/cloudhsm_client.cfg

    Windows:

    C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

  2. Nel client nodo del file, aggiungi create_object_minimum_nodes e specifica un valore per il numero minimo di HSMs on su cui AWS CloudHSM devono creare correttamente le chiavi affinché le operazioni di creazione delle chiavi abbiano esito positivo.

    "create_object_minimum_nodes" : 2
    Nota

    Lo strumento a riga di comando key_mgmt_util (KMU) presenta un'ulteriore impostazione per la durabilità delle chiavi del client. Per ulteriori informazioni, consulta Sincronizzazione lato client e KMU

Informazioni di riferimento sulla configurazione

A seguire sono mostrate le proprietà di sincronizzazione lato client, in un estratto di cloudhsm_client.cfg:

{
    "client": {
        "create_object_minimum_nodes" : 2,
        ...
    },
    
    ...
}
create_object_minimum_nodes

Speciifica il numero minimo di operazioni HSMs necessarie per ritenere che la generazione di chiavi, l'importazione di chiavi o le operazioni di apertura delle chiavi abbiano esito positivo. Se impostato, il valore predefinito è "1". Ciò significa che per ogni operazione di creazione di chiavi, il servizio lato client tenta di creare chiavi su ogni HSM del cluster, ma per la riuscita dell'operazione, il servizio deve creare solamente una singola chiave su un HSM del cluster.

Sincronizzazione lato client e KMU

Se si creano chiavi con lo strumento da riga di comando key_mgmt_util (KMU), si utilizza un parametro opzionale della riga di comando (-min_srv) per limitare il numero di chiavi su cui clonare. HSMs Se specificate il parametro della riga di comando e un valore nel file di configurazione, rispetta il valore PIÙ GRANDE dei due valori. AWS CloudHSM

Per ulteriori informazioni, consulta i seguenti argomenti: