サードパーティアプリケーションと AWS CloudHSM の統合における既知の問題 - AWS CloudHSM

サードパーティアプリケーションと AWS CloudHSM の統合における既知の問題

以下の問題は、サードパーティーのアプリケーションと統合する際に AWS CloudHSM に影響を与えます。

問題: クライアント SDK 3 で、マスターキーの生成時に Oracle が設定する PKCS #11 属性 CKA_MODIFIABLE がサポートされていません

この制限は PKCS #11 ライブラリで定義されています。詳細については、「サポートされている PKCS #11 属性」の注釈 1 を参照してください。

  • 影響 : Oracle マスターキーの作成に失敗する。

  • 回避方法 : 新しいマスターキーを作成するときに、特別な環境変数 CLOUDHSM_IGNORE_CKA_MODIFIABLE_FALSE を TRUE に設定します。この環境変数は、マスターキーの生成にのみ必要であり、この環境変数を他のものに使用する必要はありません。たとえば、作成した最初のマスターキーにこの変数を使用し、マスターキーのエディションのローテーションを行う場合にのみ、この環境変数を再度使用します。詳細については、「Oracle TDE マスター暗号化キーの生成」を参照してください。

  • 解決策のステータス : HSM ファームウェアを改善して、CKA_MODIFABLE 属性を完全にサポートしています。更新は AWS CloudHSM フォーラムとバージョン履歴ページで告知されます。