Einstellungen AWS CloudHSM für den Schlüsselspeicher bearbeiten - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einstellungen AWS CloudHSM für den Schlüsselspeicher bearbeiten

Sie können die Einstellungen eines vorhandenen AWS CloudHSM Schlüsselspeichers ändern. Der benutzerdefinierte Schlüsselspeicher muss vom AWS CloudHSM Cluster getrennt werden.

Um die Einstellungen für AWS CloudHSM den Schlüsselspeicher zu bearbeiten:

  1. Trennen Sie den benutzerdefinierten Schlüsselspeicher von dessen AWS CloudHSM -Cluster.

    Solange der benutzerdefinierte Schlüsselspeicher getrennt ist, können Sie im benutzerdefinierten Schlüsselspeicher keine AWS KMS keys (KMSSchlüssel) erstellen und die darin enthaltenen KMS Schlüssel nicht für kryptografische Operationen verwenden.

  2. Bearbeiten Sie eine oder mehrere Einstellungen für den AWS CloudHSM Schlüsselspeicher.

    Sie können in einem benutzerdefinierten Schlüsselspeicher die folgenden Einstellungen ändern:

    Anzeigename des benutzerdefinierten Schlüsselspeichers.

    Geben Sie einen neuen Anzeigenamen ein. Der neue Name muss unter allen benutzerdefinierten Schlüsselspeichern in Ihrem eindeutig sein AWS-Konto.

    Wichtig

    Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.

    Die Cluster-ID des zugehörigen AWS CloudHSM Clusters.

    Bearbeiten Sie diesen Wert, um den ursprünglichen AWS CloudHSM Cluster durch einen verwandten Cluster zu ersetzen. Sie können diese Funktion verwenden, um einen benutzerdefinierten Schlüsselspeicher zu reparieren, falls sein AWS CloudHSM Cluster beschädigt oder gelöscht wird.

    Geben Sie einen AWS CloudHSM Cluster an, der den Backup-Verlauf mit dem ursprünglichen Cluster teilt und der die Anforderungen für die Zuordnung zu einem benutzerdefinierten Schlüsselspeicher erfüllt, einschließlich zweier, die HSMs in unterschiedlichen Availability Zones aktiv sind. Cluster mit einem gemeinsamen Sicherungsverlauf haben dasselbe Cluster-Zertifikat. Verwenden Sie den DescribeClustersVorgang, um das Clusterzertifikat eines Clusters anzuzeigen. Sie können das Bearbeitungs-Feature nicht verwenden, um den benutzerdefinierten Schlüsselspeicher mit einem nicht verwandten AWS CloudHSM -Cluster zu verknüpfen.

    Das aktuelle Passwort des kmsuser Kryptobenutzers (Crypto User, CU).

    Gibt AWS KMS das aktuelle Passwort der kmsuser CU im AWS CloudHSM Cluster an. Durch diese Aktion wird das Passwort der kmsuser CU im AWS CloudHSM Cluster nicht geändert.

    Wenn Sie das Passwort der kmsuser CU im AWS CloudHSM Cluster ändern, verwenden Sie diese Funktion, um AWS KMS das neue kmsuser Passwort mitzuteilen. Andernfalls kann sich AWS KMS nicht am Cluster anmelden und jeder Versuch, den benutzerdefinierten Schlüsselspeicher mit dem Cluster zu verbinden, schlägt fehl.

  3. Verbinden Sie den benutzerdefinierten Schlüsselspeicher wieder mit dessen AWS CloudHSM -Cluster.

Bearbeiten Sie Ihre Key-Store-Einstellungen

Sie können Ihre AWS CloudHSM Key-Store-Einstellungen in der AWS KMS Konsole oder mithilfe des UpdateCustomKeyStoreVorgangs bearbeiten.

Wenn Sie einen AWS CloudHSM Schlüsselspeicher bearbeiten, können Sie einen oder mehrere der konfigurierbaren Werte ändern.

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Wählen Sie im Navigationsbereich Custom key stores (benutzerdefinierte Schlüsselspeicher) AWS CloudHSM -Schlüsselspeicher aus.

  4. Wählen Sie die Zeile des AWS CloudHSM Schlüsselspeichers aus, den Sie bearbeiten möchten.

    Wenn der Wert in der Spalte Verbindungsstatus nicht Getrennt lautet, müssen Sie den benutzerdefinierten Schlüsselspeicher trennen, um ihn bearbeiten zu können. (Wählen Sie im Menü Key store actions(Key Store-Aktionen) die Option Disconnect (Trennen) aus.)

    Solange ein AWS CloudHSM Schlüsselspeicher getrennt ist, können Sie den AWS CloudHSM Schlüsselspeicher und seine KMS Schlüssel verwalten, aber Sie können keine KMS Schlüssel im AWS CloudHSM Schlüsselspeicher erstellen oder verwenden.

  5. Wählen Sie im Menü Key store actions (Schlüsselspeicheraktionen) die Option Edit (Bearbeiten) aus.

  6. Führen Sie eine oder mehrere der folgenden Aktionen aus.

    • Geben Sie einen neuen Anzeigenamen für den benutzerdefinierten Schlüsselspeicher ein.

    • Geben Sie die Cluster-ID eines zugehörigen AWS CloudHSM Clusters ein.

    • Geben Sie das aktuelle Passwort des kmsuser Krypto-Benutzers im zugehörigen AWS CloudHSM Cluster ein.

  7. Wählen Sie Save (Speichern) aus.

    Wenn der Vorgang erfolgreich ist, wird Ihnen eine Meldung mit einer Beschreibung der von Ihnen bearbeiteten Einstellungen angezeigt. Wenn der Vorgang nicht erfolgreich ist, wird Ihnen eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt Fehlerbehebung für einen Custom Key Store.

  8. Stellen Sie die Verbindung des benutzerdefinierten Schlüsselspeichers wieder her.

    Um den AWS CloudHSM Schlüsselspeicher verwenden zu können, müssen Sie ihn nach der Bearbeitung erneut verbinden. Sie können den AWS CloudHSM -Schlüsselspeicher getrennt lassen. Solange die Verbindung unterbrochen ist, können Sie jedoch keine KMS Schlüssel im AWS CloudHSM Schlüsselspeicher erstellen oder die KMS Schlüssel im Schlüsselspeicher für AWS CloudHSM kryptografische Operationen verwenden.

Um die Eigenschaften eines AWS CloudHSM Schlüsselspeichers zu ändern, verwenden Sie den UpdateCustomKeyStoreVorgang. Sie können im selben Befehl mehrere Eigenschaften eines benutzerdefinierten Schlüsselspeichers ändern. Wenn der Vorgang erfolgreich ist, wird eine Antwort von HTTP 200 und ein JSON Objekt ohne Eigenschaften AWS KMS zurückgegeben. Verwenden Sie den DescribeCustomKeyStoresVorgang, um zu überprüfen, ob die Änderungen wirksam sind.

Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

Verwenden Sie zunächst DisconnectCustomKeyStore, um den benutzerdefinierten Schlüsselspeicher von seinem AWS CloudHSM Cluster zu trennen. Ersetzen Sie die Beispiel-ID des benutzerdefinierten Schlüsselspeichers, cks-1234567890abcdef0, durch eine tatsächliche ID.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Im ersten Beispiel wird UpdateCustomKeyStoreder Anzeigename des AWS CloudHSM Schlüsselspeichers in geändertDevelopmentKeys. Der Befehl verwendet den CustomKeyStoreId Parameter, um den AWS CloudHSM Schlüsselspeicher CustomKeyStoreName zu identifizieren und dann den neuen Namen für den benutzerdefinierten Schlüsselspeicher anzugeben.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

Im folgenden Beispiel wird der Cluster, der einem AWS CloudHSM Schlüsselspeicher zugeordnet ist, in ein anderes Backup desselben Clusters geändert. Der Befehl verwendet den CustomKeyStoreId Parameter, um den AWS CloudHSM Schlüsselspeicher zu identifizieren, und den CloudHsmClusterId Parameter, um die neue Cluster-ID anzugeben.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

Das folgende Beispiel zeigt AWS KMS , dass das aktuelle kmsuser Passwort lautetExamplePassword. Der Befehl verwendet den CustomKeyStoreId Parameter, um den AWS CloudHSM Schlüsselspeicher zu identifizieren, und den KeyStorePassword Parameter, um das aktuelle Passwort anzugeben.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

Der letzte Befehl verbindet den AWS CloudHSM Schlüsselspeicher erneut mit seinem AWS CloudHSM Cluster. Sie können den benutzerdefinierten Schlüsselspeicher im Zustand „Getrennt“ belassen, aber Sie müssen ihn verbinden, bevor Sie neue KMS Schlüssel erstellen oder vorhandene KMS Schlüssel für kryptografische Operationen verwenden können. Ersetzen Sie die Beispiel-ID des benutzerdefinierten Schlüsselspeichers durch eine tatsächliche ID.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0