本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 棄用通知
<a name="compliance-dep-notif"></a>

有時候， AWS CloudHSM 可能會棄用功能，以保持符合 FIPS 140、PCI-DSS、PCI-PIN、PCI-3DS, SOC2 的要求，或因為end-of-support硬體。此頁面會列出目前套用的變更。

## HSM1 棄用
<a name="hsm-dep-1"></a>

 AWS CloudHSM hsm1.medium 執行個體類型將於 2026 年 3 月 31 日終止支援。為了確保持續服務，我們推出了下列變更：
+  從 2025 年 4 月開始，您將無法建立新的 hsm1.medium 叢集。
+  從 2026 年 1 月開始，我們將開始自動將現有的 hsm1.medium 叢集遷移至新的 hsm2m.medium 執行個體類型。

 hsm2m.medium 執行個體類型與您目前的 AWS CloudHSM 執行個體類型相容，並提升效能。若要避免中斷應用程式，您必須升級至最新版本的用戶端 SDK。如需升級說明，請參閱 [從 AWS CloudHSM 用戶端 SDK 3 遷移至用戶端 SDK 5](client-sdk-migration.md)。

 您有兩種遷移選項：

1.  當您準備好時，選擇加入 CloudHSM 受管遷移。如需詳細資訊，[從 hsm1.medium 遷移至 hsm2m.medium](hsm1-to-hsm2-migration.md)。

1.  從 hsm1 叢集的備份建立新的 hsm2m.medium 叢集，並將您的應用程式重新導向至新的叢集。建議您針對此方法使用藍/綠部署策略。如需詳細資訊，請參閱[從備份建立 AWS CloudHSM 叢集](create-cluster-from-backup.md)。

## FIPS 140 合規性：2024 機制棄用
<a name="compliance-dep-notif-1"></a>

美國國家標準技術研究院 (NIST) [1](#dep-notif-1) 建議，在 2023 年 12 月 31 日之後不允許對三重 DES (DESede、3DES、DES3) 加密以及 RSA 金鑰包裝和取消包裝 (採用 PKCS \$11 v1.5 的填充方式) 的支援。因此，在我們的聯邦資訊處理標準 (FIPS) 模式叢集中，對這些 的支援將於 2024 年 1 月 1 日結束。在非 FIPs 模式下，叢集仍支援這些項目。

本指南適用於下列密碼編譯操作：
+ 三重 DES 金鑰產生
  + `CKM_DES3_KEY_GEN` 對於 PKCS \$111 程式庫
  + `DESede` JCE 提供商的註冊機
  + `genSymKey` 與 `-t=21` 用于 KMU 中
+ 使用三重 DES 金鑰進行加密 (注意：允許解密操作)
  + 對於 PKCS \$111 程式庫：`CKM_DES3_CBC` 加密、`CKM_DES3_CBC_PAD` 加密和 `CKM_DES3_ECB` 加密
  + 對於 JCE 提供商：`DESede/CBC/PKCS5Padding` 加密、`DESede/CBC/NoPadding` 加密、`DESede/ECB/Padding` 加密和 `DESede/ECB/NoPadding` 加密
+ 使用 PKCS \$11 v1.5 填充進行 RSA 金鑰包裝、取消包装、加密和解密
  + `CKM_RSA_PKCS` 為 PKCS \$111 SDK 進行包裝、取消包装、加密和解密
  + `RSA/ECB/PKCS1Padding` 包裝、取消包装、加密和解密 JCE SDK
  + `wrapKey`、`unWrapKey` 與 `-m 12` 用於 KMU (注意：`12` 是機制 `RSA_PKCS` 的值)

[1] 有關此變更的詳細信息，請參閱[《過渡使用加密算法和密鑰長度》](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar2.pdf)中的表 1 和表 5。