AWS CloudHSM Client SDK 3 密钥同步失败

在客户端软件开发工具包 3 中，如果客户端同步失败，则 AWS CloudHSM 会尽力清理可能已创建（现在不需要的）的所有不需要的密钥。此过程包括立即移除不需要的密钥材料或标记不需要的材料以备日后移除。在这两种情况下，解决方案都不需要您采取任何操作。在极少数情况下，如果 AWS CloudHSM 无法移除也无法标记不需要的密钥材料，您必须删除密钥材料。

问题：您尝试令牌密钥生成、导入或解包操作，但看到指定墓碑失败的错误。

2018-12-24T18:28:54Z liquidSecurity ERR: print_node_ts_status:
[create_object_min_nodes]Key: 264617 failed to tombstone on node:1

原因：AWS CloudHSM 移除和标记不需要的密钥材料失败。

解决方案：您集群中的 HSM 包含未标记为不需要的不需要的密钥材料。您必须手动移除密钥材料。要手动删除不需要的密钥材料，请使用 key_mgmt_util (KMU) 或 PKCS #11 库或 JCE 提供程序中的 API。有关更多信息，请参阅 deleteKey 或 客户端 SDKs。

为了使令牌密钥更持久，AWS CloudHSM 会拒绝在客户端同步设置中指定的最少 HSM 上不成功的密钥创建操作。有关更多信息，请参阅 AWS CloudHSM 中的密钥同步功能。