翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# hsm2m.medium AWS CloudHSM インスタンスの既知の問題
<a name="ki-hsm2m-medium"></a>

以下の問題は、すべての AWS CloudHSM hsm2m.medium インスタンスに影響します。

**Topics**
+ [問題: hsm2m.medium でログイン遅延が増加する](#ki-hsm2m-medium-1)
+ [問題: hsm2m.medium で find key の遅延が増加する](#ki-hsm2m-medium-2)
+ [問題: キーの信頼された属性を設定しようとする CO は、クライアント SDK 5.12.0 以前では失敗します。](#ki-hsm2m-medium-3)
+ [問題: ECDSA 検証は、FIPS モードでクラスターのクライアント SDK 5.12.0 以前では失敗します](#ki-hsm2m-medium-4)
+ [問題: PEM 形式の証明書のみが CloudHSM CLI で mtls トラストアンカーとして登録できます](#ki-hsm2m-medium-5)
+ [問題: パスフレーズで保護された[クライアントプライベートキー](getting-started-setup-mtls.md#getting-start-setup-mtl-sdk)を使用して mTLS を利用すると、アプリケーションがすべてのリクエスト処理を停止します。](#ki-hsm2m-medium-6)
+ [問題: CloudHSM CLI を使用するとユーザーのレプリケートが失敗する](#ki-hsm2m-medium-7)
+ [問題: バックアップの作成中にオペレーションが失敗することがある](#ki-hsm2m-medium-8)
+ [問題: hsm2m.medium の一部のシナリオで、クライアント SDK 5.8 以降が HSM のスロットルされたオペレーションに対して自動リトライを実行しない](#ki-hsm2m-medium-9)
+ [問題: hsm2m.medium ですべての IV ゼロの AES/CBC ラップ解除オペレーションが失敗する](#ki-hsm2m-medium-10)
+ [問題: hsm2m.medium でのアプリケーションのコールドスタート中に HSM 接続を初期化できない](#ki-hsm2m-medium-11)

## 問題: hsm2m.medium でログイン遅延が増加する
<a name="ki-hsm2m-medium-1"></a>
+ **影響: **hsm2m.medium にログインすると、コンプライアンス要件が過度に厳密に解釈されるため、レイテンシーが増加します。
+ **解決策: **2025 年 12 月 20 日より前に新しい hsm2m.medium インスタンスを作成した場合、または hsm1.medium から hsm2m.medium に移行した場合は、パスワードをリセットして、ログインオペレーション用に実装されたパフォーマンスの向上を活用する必要があります。手順については、[変更パスワード](cloudhsm_cli-user-change-password.md)を参照してください。

## 問題: hsm2m.medium で find key の遅延が増加する
<a name="ki-hsm2m-medium-2"></a>
+ **影響: **hsm2m.medium の HSM インスタンスは、hsm1.medium と比較して、より一貫性のある予測可能なパフォーマンスを提供する改良されたフェアシェアアーキテクチャを備えています。一方、hsm1.medium では、HSM リソースの不規則な使用により find key の処理が高速に見える場合があります。しかし、hsm1.medium の find key パフォーマンスは、HSM インスタンスがパッチ適用または新しいファームウェアに更新されると低下します。この問題は、JCE の `KeyStore.getKey()` などのオペレーションに影響します。
+ **解決策: **この問題は解決されました。ベストプラクティスとして、find key オペレーションの結果をキャッシュしてください。find key は HSM 内でリソース集約的なオペレーションであるため、キャッシュにより実行回数を減らすことができます。さらに、エクスポネンシャルバックオフとジッターを用いたクライアント側のリトライを実装し、HSM のスロットリング失敗を減らしてください。

## 問題: キーの信頼された属性を設定しようとする CO は、クライアント SDK 5.12.0 以前では失敗します。
<a name="ki-hsm2m-medium-3"></a>

 
+ **影響: **キーの信頼された属性を設定しようとする CO ユーザーは、そのことを示すエラーを受け取ります`User type should be CO or CU`。
+ **解決策: **クライアント SDK の将来のバージョンでは、この問題が解決されます。更新については、ユーザーガイドの「[ドキュメント履歴](document-history.md)」で発表されます。

## 問題: ECDSA 検証は、FIPS モードでクラスターのクライアント SDK 5.12.0 以前では失敗します
<a name="ki-hsm2m-medium-4"></a>

 
+ **影響: **FIPS モードで HSM に対して実行される ECDSA 検証オペレーションが失敗します。
+ **解決策の現状:** この問題は、[クライアント SDK 5.13.0 のリリース](client-version-previous.md#client-version-5-13-0)によって解決されています。この修正のメリットを享受するには、このクライアント バージョン以降にアップグレードする必要があります。

## 問題: PEM 形式の証明書のみが CloudHSM CLI で mtls トラストアンカーとして登録できます
<a name="ki-hsm2m-medium-5"></a>

 
+ **影響: **DER 形式の証明書は、CloudHSM CLI で mTLS トラストアンカーとして登録できません。
+ **回避策: **openssl コマンドを使用して、DER 形式の証明書を PEM 形式に変換できます。 `openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem`

## 問題: パスフレーズで保護された[クライアントプライベートキー](getting-started-setup-mtls.md#getting-start-setup-mtl-sdk)を使用して mTLS を利用すると、アプリケーションがすべてのリクエスト処理を停止します。
<a name="ki-hsm2m-medium-6"></a>

 
+ **影響: **アプリケーションが実行するすべてのオペレーションが停止し、アプリケーションの実行中にユーザーへ標準入力でパスフレーズの入力を複数回要求されます。パスフレーズがオペレーションのタイムアウト前に入力されない場合、その操作はタイムアウトし、失敗します。
+ **回避策: **mTLS ではパスフレーズで暗号化されたプライベートキーはサポートされていません。クライアントプライベートキーからパスフレーズ暗号化を削除してください。

## 問題: CloudHSM CLI を使用するとユーザーのレプリケートが失敗する
<a name="ki-hsm2m-medium-7"></a>

 
+ **影響: ** CloudHSM CLI を使用した場合、hsm2m.medium インスタンスではユーザーレプリケートが失敗します。`user replicate` コマンドは hsm1.medium インスタンスでは正常に動作します。
+ **解決策: **この問題は解決されました。

## 問題: バックアップの作成中にオペレーションが失敗することがある
<a name="ki-hsm2m-medium-8"></a>
+ **影響: **AWS CloudHSM がバックアップを作成している間、hsm2m.medium インスタンスでは、乱数生成などのオペレーションが失敗する可能性があります。
+ **解決策: **サービス中断を最小限に抑えるため、以下のベストプラクティスを実装してください。
  + 複数の HSM からなるクラスターを作成する
  + アプリケーション側でクラスターオペレーションのリトライを実装する

  ベストプラクティスの詳細については、「[のベストプラクティス AWS CloudHSM](best-practices.md)」を参照してください。

## 問題: hsm2m.medium の一部のシナリオで、クライアント SDK 5.8 以降が HSM のスロットルされたオペレーションに対して自動リトライを実行しない
<a name="ki-hsm2m-medium-9"></a>
+ **影響: **クライアント SDK 5.8 以降では、特定の HSM スロットルオペレーションが自動的にリトライされません
+ **回避策: **負荷に耐えられるようクラスターを設計し、アプリケーション側でリトライ処理を実装するというベストプラクティスに従ってください。現在、この問題の修正に取り組んでいます。更新については、ユーザーガイドの「[ドキュメント履歴](document-history.md)」で発表されます。
+ **解決ステータス:** この問題は AWS CloudHSM クライアント SDK 5.16.2 で解決されています。この修正のメリットを享受するには、このクライアント バージョン以降にアップグレードする必要があります。

## 問題: hsm2m.medium ですべての IV ゼロの AES/CBC ラップ解除オペレーションが失敗する
<a name="ki-hsm2m-medium-10"></a>
+ **影響: ** AWS CloudHSM JCE プロバイダーを使用してキーをラップ解除するために AES/CBC メカニズムを使用する場合、hsm1.medium インスタンスにない検証チェックが追加されているため、16 バイトのゼロフィル IV を使用したオペレーションは hsm2m.medium インスタンスで失敗します。
+ **解決ステータス: **AES/CBC ラップ解除オペレーション中にゼロバイト IVs を受け入れることができる修正に取り組んでいます。

## 問題: hsm2m.medium でのアプリケーションのコールドスタート中に HSM 接続を初期化できない
<a name="ki-hsm2m-medium-11"></a>
+ **影響: **この問題は、クライアントアプリケーションのデプロイや再起動などのコールドスタートに影響します。hsm2m.medium HSM インスタンスは公平配分アーキテクチャを改善し、すべてのお客様に一貫したパフォーマンス、スループット、レイテンシーを実現します。hsm1.medium では、HSM 接続の同時初期化で意図したよりも高いパフォーマンスが見られる場合があります。ただし、hsm1.medium 接続の初期化パフォーマンスは、基盤となるシステム更新によって異なります。
+ **解決策: **[ベストプラクティス](bp-application-integration.md#bp-stagger-deployment)に従い、クライアントアプリケーションのデプロイと再起動をずらして、HSM 接続を同時に初期化するクライアントアプリケーションの量を制限します。また、クライアントアプリケーションの初期化のためにアプリケーションレベルの再試行を実装することをお勧めします。さらに、 で設定ツールを使用してブートストラップ`--cluster-id <cluster ID>`し、すべての HSM IP をクライアント設定ファイルに追加します。この動作は、AWS CloudHSM Client SDK バージョン 5.17.1 以降で改善されました。この改善の恩恵を受けるには、最新の SDK バージョンにアップグレードすることをお勧めします。