本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 弃用通知
<a name="compliance-dep-notif"></a>

为了保持符合 FIPS 140、PCI-DSS、PCI-PIN、PCI-3DS 的要求或由于硬件的原因， AWS CloudHSM 可能会不时弃用功能。 SOC2 end-of-support此页面列出了当前适用的更改项。

## HSM1 弃用
<a name="hsm-dep-1"></a>

 AWS CloudHSM hsm1.medium 实例类型将于 2026 年 3 月 31 日终止支持。为了确保持续的服务，我们引入了以下变更：
+  从 2025 年 4 月开始，您将无法创建新的 hsm1.medium 集群。
+  从 2026 年 1 月起，我们将开始自动将现有的 hsm1.medium 集群迁移到新的 hsm2m.medium 实例类型。

 hsm2m.medium 实例类型与您当前的实例类型兼容，并且 AWS CloudHSM 性能有所提高。为避免应用程序中断，必须升级到最新版本的客户端 SDK。有关升级说明，请参阅 [从 AWS CloudHSM 客户端 SDK 3 迁移到客户端 SDK 5](client-sdk-migration.md)。

 您有两种迁移选项：

1.  准备就绪后，选择加入 CloudHSM 托管的迁移。有关更多信息，请参阅 [从 hsm1.medium 迁移到 hsm2m.medium](hsm1-to-hsm2-migration.md)。

1.  从 hsm1 集群的备份创建新的 hsm2m.medium 集群，并将您的应用程序重定向到新集群。我们建议为此方法使用 blue/green 部署策略。有关更多信息，请参阅 [使用备份创建 AWS CloudHSM 集群](create-cluster-from-backup.md)。

## FIPS 140 合规：2024 年机制弃用
<a name="compliance-dep-notif-1"></a>

美国国家标准与技术研究所 (NIST) [1](#dep-notif-1)建议，在 2023 年 12 月 31 日之后，不允许支持 Triple DES (DESede、3DES、 DES3) 加密以及使用 PKCS \$11 v1.5 填充的 RSA 密钥封装和解包。因此，我们的联邦信息处理标准（FIPS）模式集群中对这些内容的支持将于 2024 年 1 月 1 日结束。对于处于非FIPs 模式的集群，仍然支持这些集群。

本指南适用于以下形式加密操作：
+ 生成三重 DES 密钥
  + 适用于 PKCS\$111 库的 `CKM_DES3_KEY_GEN`
  + 适用于 JCE 提供程序的 `DESede` Keygen
  + 带 `-t=21` 的 KMU `genSymKey`
+ 通过三重 DES 密钥加密（注意：允许解密操作）
  + 对于 PKCS \$111 库：`CKM_DES3_CBC` 加密、`CKM_DES3_CBC_PAD` 加密和`CKM_DES3_ECB` 加密
  + 对于 JCE 提供程序：`DESede/CBC/PKCS5Padding` 加密、`DESede/CBC/NoPadding` 加密、`DESede/ECB/Padding` 加密和 `DESede/ECB/NoPadding` 加密
+ 使用 PKCS \$11 v1.5 填充对 RSA 密钥进行包装、解包、加密和解密
  + `CKM_RSA_PKCS` 对 PKCS \$111 SDK 进行包装、解包、加密和解密
  + `RSA/ECB/PKCS1Padding` 对 JCE SDK 进行包装、解包、加密和解密
  + 带 `-m 12` 的 `wrapKey` 和 `unWrapKey` KMU 加上（注释 `12` 是机制 `RSA_PKCS` 的值）

[1] 有关此更改的详细信息，请参阅[过渡使用加密算法和密钥长度](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar2.pdf)中的表 1 和表 5。