쿠키 기본 설정 선택

당사는 사이트와 서비스를 제공하는 데 필요한 필수 쿠키 및 유사한 도구를 사용합니다. 고객이 사이트를 어떻게 사용하는지 파악하고 개선할 수 있도록 성능 쿠키를 사용해 익명의 통계를 수집합니다. 필수 쿠키는 비활성화할 수 없지만 '사용자 지정' 또는 ‘거부’를 클릭하여 성능 쿠키를 거부할 수 있습니다.

사용자가 동의하는 경우 AWS와 승인된 제3자도 쿠키를 사용하여 유용한 사이트 기능을 제공하고, 사용자의 기본 설정을 기억하고, 관련 광고를 비롯한 관련 콘텐츠를 표시합니다. 필수가 아닌 모든 쿠키를 수락하거나 거부하려면 ‘수락’ 또는 ‘거부’를 클릭하세요. 더 자세한 내용을 선택하려면 ‘사용자 정의’를 클릭하세요.

설정
문의하기
피드백
AWS Documentation
AWS 계정 생성

모든 HSM 인스턴스의 알려진 문제

PDF
RSS
포커스 모드
모든 HSM 인스턴스의 알려진 문제 - AWS CloudHSM
문제: 제로 패딩으로 키 래핑의 표준 호환 구현을 제공하는 대신 AES 키 래핑에 PKCS#5 패딩이 사용됩니다.문제: 클라이언트 데몬이 클러스터에 성공적으로 연결하려면 구성 파일에서 최소 하나의 유효한 IP 주소가 필요합니다.문제: 클라이언트 SDK 3을 AWS CloudHSM 사용하여 해시하고 서명할 수 있는 데이터에 대한 상한이 16KB였습니다.문제: 가져온 키를 내보낼 수 없음으로 지정할 수 없음문제: key_mgmt_util의 wrapKey 및 unWrapKey 명령에 대한 기본 메커니즘이 제거되었습니다.문제: 클러스터에 HSM이 하나 있는 경우, HSM 장애 조치가 올바르게 작동하지 않습니다.문제: 짧은 시간 내에 클러스터에 있는 HSM의 키 용량이 초과하면, 클라이언트가 처리되지 않은 오류 상태로 전환됩니다.문제: HMAC 키 크기가 800바이트보다 큰 다이제스트 작업은 지원되지 않습니다.문제: Client SDK 3과 함께 배포된 client_info 도구가 선택적 출력 인수로 지정된 경로의 내용을 삭제합니다.문제: 컨테이너화된 환경에서 --cluster-id 인수를 사용하여 SDK 5 구성 도구를 실행할 때 오류가 발생합니다.문제: 제공된 pfx 파일에서 다음 오류가 표시됩니다. “cert/key를 생성하지 못했습니다. 오류: NotPkcs8”

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

다음 문제는 key_mgmt_util 명령줄 도구, PKCS #11 SDK, JCE SDK 또는 OpenSSL SDK를 사용하는지 여부에 관계없이 모든 AWS CloudHSM 사용자에게 영향을 미칩니다.

문제: 제로 패딩으로 키 래핑의 표준 호환 구현을 제공하는 대신 AES 키 래핑에 PKCS#5 패딩이 사용됩니다.

또한 패딩이 없는 키 래핑 및 제로 패딩이 지원되지 않습니다.

  • 영향: 내에서이 알고리즘을 사용하여 래핑하고 언래핑해도 영향이 없습니다 AWS CloudHSM. 그러나 로 래핑된 키는 패딩 없음 사양 준수를 기대하는 다른 HSMs 또는 소프트웨어 내에서 래핑 해제할 수 AWS CloudHSM 없습니다. 표준 호환 언래핑 중에 8바이트의 패딩 데이터가 키 데이터 끝에 추가될 수 있기 때문입니다. 외부로 래핑된 키는 AWS CloudHSM 인스턴스에서 제대로 래핑 해제할 수 없습니다.

  • 해결 방법: AWS CloudHSM 인스턴스에서 PKCS #5 패딩이 있는 AES 키 래핑으로 래핑된 키를 외부에서 언래핑하려는 경우 키를 사용하려고 시도하기 전에 추가 패딩을 제거합니다. 파일 편집기에서 추가 바이트를 잘라내거나 키 바이트만 코드의 새 버퍼로 복사하여 추가 패딩을 제거할 수 있습니다.

  • 해결 상태: 3.1.0 클라이언트 및 소프트웨어 릴리스에서 AWS CloudHSM 은 AES 키 래핑을 위한 표준 호환 옵션을 제공합니다. 자세한 내용은 AES 키 래핑을 참조하세요.

문제: 클라이언트 데몬이 클러스터에 성공적으로 연결하려면 구성 파일에서 최소 하나의 유효한 IP 주소가 필요합니다.

  • 영향: 클러스터에서 모든 HSM을 삭제한 다음 새 IP 주소를 가져오는 다른 HSM을 추가하면 클라이언트 데몬은 원래의 IP 주소에서 HSM을 계속 검색합니다.

  • 해결 방법: 간헐적인 워크로드를 실행하는 경우 CreateHsm 함수에서 IpAddress 인수를 사용하여 탄력적 네트워크 인터페이스(ENI)를 원래 값으로 설정하는 것이 좋습니다. ENI는 가용 영역(AZ)에 특정합니다. 대체 방법은 /opt/cloudhsm/daemon/1/cluster.info 파일을 삭제한 다음 클라이언트 구성을 새 HSM의 IP 주소로 재설정하는 것입니다. client -a <IP address> 명령을 사용할 수 있습니다. 자세한 내용은 클라이언트 설치 및 구성 AWS CloudHSM (Linux) 또는 AWS CloudHSM 클라이언트 설치 및 구성(Windows)을 참조하세요.

문제: 클라이언트 SDK 3을 AWS CloudHSM 사용하여 해시하고 서명할 수 있는 데이터에 대한 상한이 16KB였습니다.

  • 해결 상태: 크기가 16KB 미만인 데이터는 해싱을 위해 계속해서 HSM에 전송됩니다. 소프트웨어에서 크기가 16KB ~ 64KB인 데이터를 로컬 해싱하는 기능이 추가되었습니다. 클라이언트 SDK 5가 데이터 버퍼가 64KB보다 큰 경우 명시적으로 실패합니다. 수정의 이점을 누리기 위해서는 클라이언트 및 SDK를 버전 5.0.0 이상으로 업데이트해야 합니다.

문제: 가져온 키를 내보낼 수 없음으로 지정할 수 없음

  • 해결 상태: 이 문제가 수정되었습니다. 수정의 이점을 누리기 위해 사용자가 특별히 할 일은 없습니다.

문제: key_mgmt_util의 wrapKey 및 unWrapKey 명령에 대한 기본 메커니즘이 제거되었습니다.

  • 해결: wrapKey 또는 unWrapKey 명령을 사용할 때 -m 옵션을 사용하여 메커니즘을 지정해야 합니다. 자세한 내용은 wrapKey 또는 unWrapKey 문서의 예제를 참조하십시오.

문제: 클러스터에 HSM이 하나 있는 경우, HSM 장애 조치가 올바르게 작동하지 않습니다.

  • 영향: 클러스터의 단일 HSM 인스턴스가 연결이 끊어지면, HSM 인스턴스가 나중에 복원되더라도 클라이언트가 인스턴스와 다시 연결되지 않습니다.

  • 해결 방법: 프로덕션 클러스터에 HSM 인스턴스가 두 개 이상 있는 것이 좋습니다. 이 구성을 사용하면 이 문제의 영향을 받지 않습니다. 단일 HSM 클러스터의 경우, 클라이언트 데몬을 바운스하여 연결을 복원합니다.

  • 해결 상태: 이 문제는 AWS CloudHSM 클라이언트 1.1.2 릴리스에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트로 업그레이드해야 합니다.

문제: 짧은 시간 내에 클러스터에 있는 HSM의 키 용량이 초과하면, 클라이언트가 처리되지 않은 오류 상태로 전환됩니다.

  • 영향: 클라이언트에 처리되지 않은 오류 상태가 발생하면 중지되므로 다시 시작해야 합니다.

  • 해결 방법: 처리량을 테스트하여 클라이언트가 처리할 수 없는 속도로 세션 키를 생성하고 있지 않은지 확인하십시오. 클러스터에 HSM을 추가하거나 세션 키 생성 속도를 줄여 속도를 낮출 수 있습니다.

  • 해결 상태: 이 문제는 AWS CloudHSM 클라이언트 1.1.2 릴리스에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트로 업그레이드해야 합니다.

문제: HMAC 키 크기가 800바이트보다 큰 다이제스트 작업은 지원되지 않습니다.

  • 영향: 800바이트보다 큰 HMAC 키를 HSM에 생성하거나 가져올 수 있습니다. 그러나 JCE 또는 key_mgmt_util을 통해 다이제스트 작업에서 이보다 더 큰 키를 사용하면, 작업이 실패합니다. PKCS11을 사용하는 경우, HMAC 키가 64바이트 크기로 제한됩니다.

  • 해결 방법: HSM에서 다이제스트 작업에 HMAC 키를 사용할 예정인 경우, 크기가 800바이트보다 작은지 확인하십시오.

  • 해결 상태: 현재는 없습니다.

문제: Client SDK 3과 함께 배포된 client_info 도구가 선택적 출력 인수로 지정된 경로의 내용을 삭제합니다.

  • 영향: 지정된 출력 경로에 있는 모든 기존 파일 및 하위 디렉터리가 영구적으로 손실될 수 있습니다.

  • 해결 방법: client_info도구를 사용할 때 -output path선택적 인수를 사용하지 마십시오.

  • 해결 상태: 이 문제는 Client SDK 3.3.2 릴리스에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트로 업그레이드해야 합니다.

문제: 컨테이너화된 환경에서 --cluster-id 인수를 사용하여 SDK 5 구성 도구를 실행할 때 오류가 발생합니다.

구성 도구와 함께 --cluster-id 인수를 사용할 때 다음 오류가 발생합니다.

No credentials in the property bag

이 오류는 인스턴스 메타데이터 서비스 버전 2(IMDSv2) 업데이트로 인해 발생합니다. 자세한 내용은 IMDSv2 설명서를 참조하십시오.

  • 영향: 이 문제는 컨테이너화된 환경에서 SDK 버전 5.5.0 이상에서 구성 도구를 실행하고 EC2 인스턴스 메타데이터를 활용하여 자격 증명을 제공하는 사용자에게 영향을 미칩니다.

  • 해결 방법: PUT 응답 홉 제한을 2개 이상으로 설정합니다. 이 작업을 수행하는 방법에 대한 지침은 인스턴스 메타데이터 옵션 구성을 참조하세요.

문제: 제공된 pfx 파일에서 다음 오류가 표시됩니다. “cert/key를 생성하지 못했습니다. 오류: NotPkcs8”

  • 해결 방법: opensl 명령 openssl pkcs8 -topk8 -inform PEM -outform PEM -in ssl_private_key -out ssl_private_key_pkcs8을 사용하여 사용자 지정 SSL 프라이빗 키를 PKCS8 형식으로 변환할 수 있습니다.

  • 해결 상태: 이 문제는 클라이언트 SDK 5.12.0 릴리스에서 해결되었습니다. 수정의 이점을 누리려면 이 클라이언트 버전 이상으로 업그레이드해야 합니다.

이 페이지에서

프라이버시사이트 이용 약관쿠키 기본 설정
© 2025, Amazon Web Services, Inc. 또는 계열사. All rights reserved.