用戶端 SDK 3 金鑰同步失敗

在 Client SDK 3 中，如果用戶端同步處理失敗， AWS CloudHSM 會盡最大努力回應以清除可能已建立 (而且現在不需要) 的任何不需要的金鑰。此程序包括立即移除不需要的金鑰材料，或標記不需要的材料以供日後移除。在這兩種情況下，解決方案都不需要您採取任何行動。在極少數情況下 AWS CloudHSM 無法移除且無法標記不需要的關鍵材料，您必須刪除關鍵材料。

問題：您嘗試產生符記金鑰、匯入或取消包裝作業，並看到 tombstone 失敗的錯誤。

2018-12-24T18:28:54Z liquidSecurity ERR: print_node_ts_status:
[create_object_min_nodes]Key: 264617 failed to tombstone on node:1

原因：無 AWS CloudHSM 法刪除並標記不需要的密鑰材料。

解決方案：叢集中的 HSM 包含未標示為不需要的不需要金鑰材料。您必須手動移除金鑰材料。若要手動刪除不想要的金鑰材料，請使用 key_mgmt_util (KMU) 或 PKCS #11 程式庫或 JCE 提供者中的 API。如需詳細資訊，請參閱 deleteKey 或 用戶端 SDK。

若要讓 Token 金鑰更持久，在用戶端同步處理設定中指定的 HSM 數目下限上無法成功的金鑰建立作業 AWS CloudHSM 失敗。如需詳細資訊，請參閱 AWS CloudHSM 中的金鑰同步。