HSM スロットリング

ワークロードが AWS CloudHSM クラスターのハードウェアセキュリティモジュール (HSM) 容量を超えると、ビジーまたはスロットリングHSMs中であることを示すエラーメッセージが表示されます。これが発生すると、スループットの低下や、 からの拒否リクエストの割合の増加が発生する可能性がありますHSMs。さらに、 は、次のビジーエラーを送信するHSMs場合があります。

クライアント 5 SDK の場合

• ではPKCS11、ビジーエラーは にマッピングされますCKR_FUNCTION_FAILED。このエラーは複数の理由で発生する可能性がありますが、HSMスロットリングによってこのエラーが発生すると、ログに次のログラインが表示されます。

  • [cloudhsm_provider::hsm1::hsm_connection::e2e_encryption::error] Failed to prepare E2E response. Error: Received error response code from Server. Response Code: 187

  • [cloudhsm_pkcs11::decryption::aes_gcm] Received error from the server. Error: This operation is already in progress. Internal error code: 0x000000BB

• ではJCE、ビジーエラーは にマッピングされます。 com.amazonaws.cloudhsm.jce.jni.exception.InternalException: Unexpected error with the Provider: The HSM could not queue the request for processing.

• 他の SDKsのビジーエラーは、次のメッセージを印刷します。 Received error response code from Server. Response Code: 187

クライアント 3 SDK の場合

• ではPKCS11、ビジーエラーはCKR_OPERATION_ACTIVEエラーにマッピングされます。

• ではJCE、ビジーエラーは のステータスCFM2Exceptionで にマッピングされます0xBB (187)。アプリケーションは の getStatus()関数を使用してCFM2Exception、 によって返されるステータスを確認できますHSM。

• その他のSDKsビジーエラーでは、次のメッセージが出力されます。 HSM Error: HSM is already busy generating the keys(or random bytes) for another request.

解決方法

この問題は、次の 1 つまたは複数のアクションを実行することで解決できます。

• アプリケーションレイヤーで拒否されたHSMオペレーションの再試行コマンドを追加します。再試行コマンドを有効にする前に、クラスターがピーク時の負荷に対応できる適切なサイズになっていることを確認してください。

  注記

  Client 5.8.0 SDK 以降では、再試行コマンドはデフォルトでオンになっています。各 SDKの再試行コマンド設定の詳細については、「」を参照してくださいClient 5 SDK 設定ツールの詳細設定。

• 「」の指示に従って、クラスターHSMsにさらに追加しますAWS CloudHSM クラスターHSMsでのスケーリング。

  重要

  クラスターの負荷テストを行って予測すべきピーク負荷を判断し、さらに 1 つ追加HSMして高可用性を確保することをお勧めします。