Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verbindung zu einem AWS CloudHSM Schlüsselspeicher trennen
Wenn Sie die Verbindung zu einem AWS CloudHSM Schlüsselspeicher trennen, AWS KMS meldet sich der AWS CloudHSM Client ab, trennt die Verbindung zum zugehörigen AWS CloudHSM Cluster und entfernt die Netzwerkinfrastruktur, die zur Unterstützung der Verbindung erstellt wurde.
Solange ein AWS CloudHSM Schlüsselspeicher getrennt ist, können Sie den AWS CloudHSM Schlüsselspeicher und seine KMS Schlüssel verwalten, aber Sie können keine KMS Schlüssel im AWS CloudHSM Schlüsselspeicher erstellen oder verwenden. Der Verbindungsstatus des Schlüsselspeichers ist DISCONNECTED und der Schlüsselstatus der KMS Schlüssel im benutzerdefinierten Schlüsselspeicher istUnavailable, sofern dies nicht der Fall ist. PendingDeletion Sie können den AWS CloudHSM Schlüsselspeicher jederzeit wieder verbinden.
Anmerkung
AWS CloudHSM Schlüsselspeicher haben nur dann einen DISCONNECTED Verbindungsstatus, wenn der Schlüsselspeicher noch nie verbunden war oder wenn Sie die Verbindung explizit trennen. Wenn Ihr AWS CloudHSM Schlüsselspeicher-Verbindungsstatus lautet, Sie CONNECTED aber Probleme bei der Verwendung haben, stellen Sie sicher, dass der zugehörige AWS CloudHSM Cluster aktiv ist und mindestens einen aktiven enthältHSMs. Hilfestellung bei fehlgeschlagenen Verbindungen finden Sie unter Fehlerbehebung für einen Custom Key Store.
Wenn Sie die Verbindung zu einem benutzerdefinierten Schlüsselspeicher trennen, werden die KMS Schlüssel im Schlüsselspeicher sofort unbrauchbar (abhängig von der eventuellen Konsistenz). Ressourcen, die mit durch den KMSSchlüssel geschützten Datenschlüsseln verschlüsselt wurden, sind jedoch erst betroffen, wenn der KMS Schlüssel erneut verwendet wird, z. B. zum Entschlüsseln des Datenschlüssels. Dieses Problem betrifft AWS-Services, von denen viele Datenschlüssel verwenden, um Ihre Ressourcen zu schützen. Details hierzu finden Sie unter Wie sich unbrauchbare KMS Schlüssel auf Datenschlüssel auswirken.
Anmerkung
Solange ein benutzerdefinierter Schlüsselspeicher getrennt ist, schlagen alle Versuche fehl, KMS Schlüssel im benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS Schlüssel für kryptografische Operationen zu verwenden. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
Um die Auswirkungen einer Trennung Ihres benutzerdefinierten Schlüsselspeichers besser einschätzen zu können, identifizieren Sie die KMS Schlüssel im benutzerdefinierten Schlüsselspeicher und ermitteln, wie sie in der Vergangenheit verwendet wurden.
Sie können die Verbindung zu einem AWS CloudHSM Schlüsselspeicher aus folgenden Gründen trennen:
-
Zum Rotieren des
kmsuser-Passworts. AWS KMS ändert daskmsuser-Passwort jedes Mal, wenn eine Verbindung zu dem AWS CloudHSM -Cluster hergestellt wird. Um eine Passwort-Rotation zu erzwingen, trennen Sie einfach die Verbindung und stellen Sie sie wieder her. -
Um das Schlüsselmaterial für die KMS Schlüssel im AWS CloudHSM Cluster zu prüfen. Wenn Sie die Verbindung zum benutzerdefinierten Schlüsselspeicher trennen, AWS KMS meldet es sich vom kmsuserKrypto-Benutzerkonto im AWS CloudHSM Client ab. Auf diese Weise können Sie sich als
kmsuserCU beim Cluster anmelden und das Schlüsselmaterial für den KMS Schlüssel prüfen und verwalten. -
Um sofort alle KMS Schlüssel im AWS CloudHSM Schlüsselspeicher zu deaktivieren. Sie können KMSSchlüssel in einem AWS CloudHSM Schlüsselspeicher deaktivieren und erneut aktivieren, indem Sie die DisableKeyOperation AWS Management Console oder verwenden. Diese Operationen werden schnell abgeschlossen, sie wirken sich jedoch jeweils auf einen KMS Schlüssel aus. Wenn die Verbindung zum AWS CloudHSM Schlüsselspeicher getrennt wird, ändert sich der Schlüsselstatus aller KMS Schlüssel im AWS CloudHSM Schlüsselspeicher sofort auf
Unavailable, sodass sie nicht für kryptografische Operationen verwendet werden können. -
Zur Behebung eines fehlgeschlagenen Verbindungsversuchs. Wenn ein Verbindungsversuch mit einem AWS CloudHSM Schlüsselspeicher fehlschlägt (der Verbindungsstatus des benutzerdefinierten Schlüsselspeichers ist
FAILED), müssen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen, bevor Sie erneut versuchen, eine Verbindung herzustellen.
Trennen Sie die Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher
Sie können die Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des DisconnectCustomKeyStoreVorgangs trennen.
Um die Verbindung zu einem verbundenen AWS CloudHSM Schlüsselspeicher in der AWS KMS Konsole zu trennen, wählen Sie zunächst den AWS CloudHSM Schlüsselspeicher auf der Seite Benutzerdefinierte Schlüsselspeicher aus.
-
Melden Sie sich bei der Konsole AWS Key Management Service (AWS KMS) an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms
. -
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
-
Wählen Sie im Navigationsbereich Custom key stores (benutzerdefinierte Schlüsselspeicher) AWS CloudHSM -Schlüsselspeicher aus.
-
Wählen Sie die Zeile des externen Schlüsselspeichers aus, mit dem Sie die Verbindung trennen möchten.
-
Wählen Sie im Menü Key store actions (Schlüsselspeicheraktionen) die Option Disconnect (Verbindung trennen) aus.
Nach Abschluss der Produktion ändert sich der Verbindungsstatus von Verbindung wird getrennt in Verbindung wird getrennt. Wenn die Produktion fehlschlägt, wird eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt Fehlerbehebung für einen Custom Key Store.
Verwenden Sie den DisconnectCustomKeyStoreVorgang, um die Verbindung zu einem verbundenen AWS CloudHSM Schlüsselspeicher zu trennen. Wenn der Vorgang erfolgreich ist, wird eine Antwort von HTTP 200 und ein JSON Objekt ohne Eigenschaften AWS KMS zurückgegeben.
Für diese Beispiele wird die AWS Command Line Interface
(AWS CLI)
In diesem Beispiel wird die Verbindung zu einem AWS CloudHSM Schlüsselspeicher getrennt. Ersetzen Sie vor Ausführung dieses Beispiels die Beispiel-ID durch eine gültige ID.
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
Verwenden Sie den Vorgang, um zu überprüfen, ob der AWS CloudHSM DescribeCustomKeyStoresSchlüsselspeicher getrennt ist. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Sie können jedoch entweder den Parameter CustomKeyStoreId oder CustomKeyStoreName (aber nicht beide) verwenden, um die Antwort auf bestimmte benutzerdefinierte Schlüsselspeicher zu begrenzen. Der ConnectionState Wert von DISCONNECTED gibt an, dass dieser AWS CloudHSM Beispielschlüsselspeicher nicht mit seinem AWS CloudHSM Cluster verbunden ist.
$aws kms describe-custom-key-stores --custom-key-store-idcks-1234567890abcdef0{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionState": "DISCONNECTED", "CreationDate": "1.499288695918E9", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CustomKeyStoreType": "AWS_CLOUDHSM", "TrustAnchorCertificate": "<certificate string appears here>" ], }
