AWS CloudHSM 用戶端 SDK 3 金鑰同步失敗

在用戶端 SDK 3 中，如果用戶端同步失敗， AWS CloudHSM 會盡最大努力回應，以清除可能已建立的任何不需要的金鑰 （現在是不需要的）。此程序包括立即移除不需要的金鑰材料，或標記不需要的材料以供日後移除。在這兩種情況下，解決方案都不需要您採取任何行動。在極少數情況下， AWS CloudHSM 如果無法移除且無法標記不需要的金鑰材料，您必須刪除金鑰材料。

問題：您嘗試產生符記金鑰、匯入或取消包裝作業，並看到 tombstone 失敗的錯誤。

2018-12-24T18:28:54Z liquidSecurity ERR: print_node_ts_status:
[create_object_min_nodes]Key: 264617 failed to tombstone on node:1

原因：移除和標記不需要 AWS CloudHSM 的金鑰材料失敗。

解決方案：叢集中的 HSM 包含未標示為不需要的不需要金鑰材料。您必須手動移除金鑰材料。若要手動刪除不想要的金鑰材料，請使用 key_mgmt_util (KMU) 或 PKCS #11 程式庫或 JCE 提供者中的 API。如需詳細資訊，請參閱 deleteKey 或 用戶端 SDK。

為了讓權杖金鑰更持久， AWS CloudHSM 會在用戶端同步設定中指定的 HSMs 數目下限上失敗金鑰建立操作。如需詳細資訊，請參閱 AWS CloudHSM 中的金鑰同步。