Limitación de HSM - AWS CloudHSM
Resolución

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Limitación de HSM

Cuando su carga de trabajo supere la capacidad de HSM de su clúster, recibirá mensajes de error indicando que los HSM están ocupados o limitados. Cuando esto sucede, es posible que vea una reducción del rendimiento o un aumento en la tasa de solicitudes de rechazo de los HSM. Además, los HSM pueden enviar los siguientes errores de ocupado.

  • En PKCS11, los errores de ocupado se asignan a CKR_FUNCTION_FAILED. Este error puede producirse por varios motivos, pero si la limitación del HSM provoca este error, aparecerán en su registro las siguientes líneas de registro:

    • [cloudhsm_provider::hsm1::hsm_connection::e2e_encryption::error] Failed to prepare E2E response. Error: Received error response code from Server. Response Code: 187

    • [cloudhsm_pkcs11::decryption::aes_gcm] Received error from the server. Error: This operation is already in progress. Internal error code: 0x000000BB

  • En JCE, los errores de ocupado se asignan a com.amazonaws.cloudhsm.jce.jni.exception.InternalException: Unexpected error with the Provider: The HSM could not queue the request for processing..

  • Los errores de ocupado de otros SDK muestran el siguiente mensaje: Received error response code from Server. Response Code: 187.

  • En PKCS11, los errores de ocupado se asignan a errores CKR_OPERATION_ACTIVE.

  • En JCE, los errores de ocupado se asignan a CFM2Exception con el estado de 0xBB (187). Las aplicaciones pueden usar la función getStatus() en CFM2Exception para comprobar qué estado devuelve el HSM.

  • Los errores de ocupado de otros SDK mostrarán el siguiente mensaje: HSM Error: HSM is already busy generating the keys(or random bytes) for another request.

Resolución

Puede solucionar estos problemas realizando una o más de las siguientes acciones:

  • Agregue comandos de reintento para las operaciones de HSM rechazadas en su capa de aplicaciones. Antes de activar los comandos de reintento, asegúrese de que el clúster tenga el tamaño adecuado para soportar los picos de carga.

    nota

    En SDK de cliente 5.8.0 y versiones posteriores, los comandos de reintento están activados de forma predeterminada. Para obtener más información sobre la configuración de los comandos de reintento de cada SDK, consulte Configuraciones avanzadas para la herramienta de configuración SDK 5 de cliente.

  • Añada más HSM a su clúster siguiendo las instrucciones que se indican en Añadir o eliminar los HSM de un clúster AWS CloudHSM.

    importante

    Recomendamos realizar pruebas de carga en el clúster para determinar el pico de carga previsto y, a continuación, añadir un HSM adicional para garantizar una alta disponibilidad.