HSM 제한

워크로드가 AWS CloudHSM 클러스터의 하드웨어 보안 모듈(HSM) 용량을 초과하면 사용 중이거나 제한되었다HSMs는 오류 메시지가 표시됩니다. 이 경우 처리량이 감소하거나 의 거부 요청 속도가 증가할 수 있습니다HSMs. 또한 HSMs는 다음과 같은 사용 중 오류를 전송할 수 있습니다.

클라이언트 SDK 5의 경우

• 에서 PKCS11사용 중인 오류는 에 매핑됩니다CKR_FUNCTION_FAILED. 이 오류는 여러 가지 이유로 발생할 수 있지만 HSM 제한으로 인해 이 오류가 발생하면 로그에 다음 로그 줄이 표시됩니다.

  • [cloudhsm_provider::hsm1::hsm_connection::e2e_encryption::error] Failed to prepare E2E response. Error: Received error response code from Server. Response Code: 187

  • [cloudhsm_pkcs11::decryption::aes_gcm] Received error from the server. Error: This operation is already in progress. Internal error code: 0x000000BB

• 에서 JCE사용 중인 오류는 에 매핑됩니다. com.amazonaws.cloudhsm.jce.jni.exception.InternalException: Unexpected error with the Provider: The HSM could not queue the request for processing.

• 다른 SDKs의 사용 중 오류는 다음 메시지를 출력합니다Received error response code from Server. Response Code: 187.

클라이언트 SDK 3의 경우

• 에서 PKCS11사용 중인 오류는 CKR_OPERATION_ACTIVE 오류에 매핑됩니다.

• 에서 JCE사용 중 오류는 상태가 CFM2Exception인 에 매핑됩니다0xBB (187). 애플리케이션은 의 getStatus() 함수CFM2Exception를 사용하여 에서 반환되는 상태를 확인할 수 있습니다HSM.

• 다른 SDKs 사용 중 오류는 다음 메시지를 출력합니다. HSM Error: HSM is already busy generating the keys(or random bytes) for another request.

해결 방법

다음 작업 중 하나 이상을 수행하여 이러한 문제를 해결할 수 있습니다.

• 애플리케이션 계층에서 거부된 HSM 작업에 대한 재시도 명령을 추가합니다. 재시도 명령을 활성화하기 전에 클러스터의 크기가 최대 부하를 충족할 수 있도록 적절한지 확인하십시오.

  참고

  Client SDK 5.8.0 이상의 경우 재시도 명령이 기본적으로 켜져 있습니다. 각 SDK의 재시도 명령 구성에 대한 자세한 내용은 섹션을 참조하세요Client SDK 5 구성 도구의 고급 구성.

• 의 지침에 따라 클러스터에 더 추가HSMs하세요AWS CloudHSM 클러스터HSMs에서 크기 조정.

  중요

  클러스터를 로드 테스트하여 예상해야 하는 피크 부하를 확인한 다음 고가용성을 보장하기 위해 클러스터HSM에 하나 더 추가하는 것이 좋습니다.