AWS CloudHSM クライアント SDK 3 キー同期の失敗

クライアント SDK 3 では、クライアント側の同期が失敗した場合、 はベストエフォートレスポンス AWS CloudHSM を実行して、作成された (および不要になった) 不要なキーをクリーンアップします。このプロセスでは、不要なキーマテリアルを直ちに除去すること、あるいは後で除去するために不要な材料をマーキングすることを含んでいます。どちらの場合も、解決するためにはお客様からのアクションは必要ありません。が不要なキーマテリアルを削除 AWS CloudHSM できず、マークできないというまれなケースでは、キーマテリアルを削除する必要があります。

問題: トークンキーの生成、インポート、またはアンラップ操作を試行し、tombstone への失敗を指定するエラーが表示される。

2018-12-24T18:28:54Z liquidSecurity ERR: print_node_ts_status:
[create_object_min_nodes]Key: 264617 failed to tombstone on node:1

原因: AWS CloudHSM 不要なキーマテリアルの削除とマークに失敗しました。

解決方法: クラスター内の HSM には、不要とマークされていない不要なキーマテリアルが含まれています。キーマテリアルを手動で削除する必要があります。不要なキーマテリアルを手動で削除するには、[key_mgmt_util (KMU)]、または[PKCS #11] あるいは JCE プロバイダーからの API を使用します。詳細については、deleteKey または クライアント SDK を参照してください。

トークンキーの耐久性を高めるために、 は、クライアント側の同期設定で指定された最小数の HSMs で成功しないキー作成オペレーションを AWS CloudHSM 失敗させます。詳細については、Key Synchronization in AWS CloudHSM を参照してください。