Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bearbeiten der Eigenschaften eines externen Schlüsselspeichers
Sie können ausgewählte Eigenschaften eines vorhandenen externen Schlüsselspeichers bearbeiten.
Sie können einige Eigenschaften bearbeiten, während der externe Schlüsselspeicher verbunden oder getrennt ist. Für andere Eigenschaften müssen Sie zuerst Ihren externen Schlüsselspeicher vom Proxy des externen Schlüsselspeichers trennen. Der Verbindungsstatus des externen Schlüsselspeichers muss DISCONNECTED sein. Während ein externer Schlüsselspeicher getrennt ist, können Sie den Schlüsselspeicher und seine KMS-Schlüssel verwalten, aber Sie können keine KMS-Schlüssel im externen Schlüsselspeicher erstellen oder verwenden. Um den Verbindungsstatus Ihres externen Schlüsselspeichers zu ermitteln, verwenden Sie die -DescribeCustomKeyStoresOperation oder sehen Sie sich den Abschnitt Allgemeine Konfiguration auf der Detailseite für den externen Schlüsselspeicher an.
Bevor Sie die Eigenschaften aktualisieren, die Ihr externer Schlüsselspeicher hat, AWS KMS sendet eine GetHealthStatus Anforderung an den externen Schlüsselspeicher-Proxy unter Verwendung der neuen Werte. Wenn die Anforderung erfolgreich ist, bedeutet dies, dass Sie eine Verbindung zu einem Proxy des externen Schlüsselspeichers herstellen und sich mit den aktualisierten Eigenschaftswerten authentifizieren können. Schlägt die Anforderung fehl, schlägt der Bearbeitungsvorgang mit einer Ausnahme fehl, die den Fehler identifiziert.
Wenn der Bearbeitungsvorgang abgeschlossen ist, werden die aktualisierten Eigenschaftswerte für Ihren externen Schlüsselspeicher in der AWS KMS-Konsole und in der DescribeCustomKeyStores-Antwort angezeigt. Es kann jedoch bis zu fünf Minuten dauern, bis die Änderungen vollständig wirksam werden.
Wenn Sie Ihren externen Schlüsselspeicher in der AWS KMS-Konsole bearbeiten, haben Sie die Möglichkeit, eine JSON-basierte Proxy-Konfigurationsdatei hochzuladen, die den Proxy-URI-Pfad und die Anmeldeinformationen für die Proxy-Authentifizierung angibt. Einige externe Schlüsselspeicher-Proxys generieren diese Datei für Sie. Einzelheiten finden Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager.
Warnung
Die aktualisierten Eigenschaftswerte müssen Ihren externen Schlüsselspeicher mit einem Proxy für denselben externen Schlüsselmanager wie die vorherigen Werte oder für eine Sicherung oder einen Snapshot des externen Schlüsselmanagers mit denselben kryptografischen Schlüsseln verbinden. Wenn Ihr externer Schlüsselspeicher dauerhaft den Zugriff auf die externen Schlüssel verliert, die mit seinen KMS-Schlüsseln verknüpft sind, kann der mit diesen externen Schlüsseln verschlüsselte Geheimtext nicht wiederhergestellt werden. Insbesondere die Änderung der Proxy-Konnektivität eines externen Schlüsselspeichers kann verhindern, dass AWS KMS auf Ihre externen Schlüssel zugreift.
Tipp
Einige externe Schlüsselmanager bieten eine einfachere Methode zur Bearbeitung der Eigenschaften externer Schlüsselspeicher. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.
Sie können die folgenden Eigenschaften eines externen Schlüsselspeichers ändern:
| Bearbeitbare Eigenschaften eines externen Schlüsselspeichers | Beliebiger Verbindungsstatus | Status „Disconnected“ (Verbindung getrennt) erforderlich |
|---|---|---|
| Name des benutzerdefinierten Schlüsselspeichers Ein erforderlicher Anzeigename für einen benutzerdefinierten Schlüsselspeicher. WichtigGeben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden. |
 |
|
| Anmeldeinformationen für die Proxy-Authentifizierung (XksProxyAuthenticationCredential) (Sie müssen sowohl die Zugriffsschlüssel-ID als auch den geheimen Zugriffsschlüssel angeben, auch wenn Sie nur ein Element ändern.) |
|
|
| Proxy-URI-Pfad (XksProxyUriPath) | |
|
| Proxy-Konnektivität (XksProxyConnectivity) (Sie müssen auch den Proxy-URI-Endpunkt aktualisieren. Wenn Sie zur Konnektivität eines VPC-Endpunkt-Service wechseln, müssen Sie einen Namen für den Proxy-VPC-Endpunkt-Service angeben.) |
|
|
| Proxy-URI-Endpunkt (XksProxyUriEndpoint) Wenn Sie den Proxy-Endpunkt-URI ändern, müssen Sie möglicherweise auch das zugehörige TLS-Zertifikat ändern. |
|
|
| Name des Proxy-VPC-Endpunktservice (XksProxyVpcEndpointServiceName) (Dieses Feld ist für die Konnektivität eines VPC-Endpunkt-Service erforderlich) |
|
Themen
Bearbeiten eines externen Schlüsselspeichers (Konsole)
Wenn Sie einen Schlüsselspeicher bearbeiten, können Sie die bearbeitbaren Werte beliebig ändern. Einige Änderungen erfordern, dass der externe Schlüsselspeicher von seinem externen Schlüsselspeicher-Proxy getrennt wird.
Wenn Sie den Proxy-URI-Pfad oder die Anmeldeinformation für die Proxy-Authentifizierung bearbeiten, können Sie die neuen Werte eingeben oder eine Proxykonfigurationsdatei für den externen Schlüsselspeicher hochladen, die die neuen Werte enthält.
-
Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.
-
Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
Wählen Sie im Navigationsbereich Custom key stores (Benutzerdefinierte Schlüsselspeicher), External key stores (Externe Schlüsselspeicher) aus.
-
Wählen Sie die Zeile des externen Schlüsselspeichers aus, den Sie bearbeiten möchten.
-
Falls erforderlich, trennen Sie den externen Schlüsselspeicher von seinem externen Schlüsselspeicher-Proxy. Wählen Sie im Menü Key store actions (Schlüsselspeicheraktionen) die Option Disconnect (Verbindung trennen) aus.
-
Wählen Sie im Menü Key store actions (Schlüsselspeicheraktionen) die Option Edit (Bearbeiten) aus.
-
Ändern Sie eine oder mehrere der bearbeitbaren Eigenschaften des externen Schlüsselspeichers. Sie können auch eine Proxy-Konfigurationsdatei für den externen Schlüsselspeicher mit Werten für den Proxy-URI-Pfad und der Anmeldeinformation für die Proxy-Authentifizierung hochladen. Sie können eine Proxy-Konfigurationsdatei auch dann verwenden, wenn sich einige in der Datei angegebene Werte nicht geändert haben.
-
Wählen Sie Update external key store (Aktualisieren des externen Schlüsselspeichers).
-
Überprüfen Sie die Warnung, und wenn Sie fortfahren möchten, bestätigen Sie die Warnung und wählen Sie dann Update external key store (Aktualisieren des externen Schlüsselspeichers).
Wenn der Vorgang erfolgreich ist, wird eine Meldung mit einer Beschreibung der von Ihnen bearbeiteten Eigenschaften angezeigt. Wenn der Vorgang nicht erfolgreich ist, wird Ihnen eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt.
-
Falls erforderlich, verbinden Sie den externen Schlüsselspeicher wieder. Wählen Sie im Menü Key store actions (Schlüsselspeicheraktionen) die Option Connect (Verbinden) aus.
Sie können die Verbindung des externen Schlüsselspeichers getrennt lassen. Solange die Verbindung getrennt ist, können Sie jedoch keine KMS-Schlüssel im externen Schlüsselspeicher erstellen oder die KMS-Schlüssel im externen Schlüsselspeicher für kryptografische Vorgänge verwenden.
Bearbeiten eines externen Schlüsselspeichers (API)
Um die Eigenschaften eines externen Schlüsselspeichers zu ändern, verwenden Sie die -UpdateCustomKeyStoreOperation. Sie können mehrere Eigenschaften eines externen Schlüsselspeichers mit demselben Vorgang ändern. Wenn die Produktion erfolgreich ausgeführt wurde, gibt AWS KMS eine HTTP-200-Antwort und ein JSON-Objekt ohne Eigenschaften zurück.
Verwenden Sie den CustomKeyStoreId-Parameter, um den externen Schlüsselspeicher zu identifizieren. Verwenden Sie die anderen Parameter, um die Eigenschaften zu ändern. Sie können für den UpdateCustomKeyStore-Vorgang keine Proxy-Konfigurationsdatei verwenden. Die Proxy-Konfigurationsdatei wird nur von der AWS KMS-Konsole unterstützt. Sie können aber die Proxy-Konfigurationsdatei verwenden, um die richtigen Parameterwerte für Ihren externen Schlüsselspeicher-Proxy zu ermitteln.
Für diese Beispiele wird die AWS Command Line Interface (AWS CLI)
Bevor Sie beginnen, trennen Sie ggf. die Verbindung des externen Schlüsselspeichers mit dem Proxy des externen Schlüsselspeichers. Nach der Aktualisierung können Sie den externen Schlüsselspeicher bei Bedarf wieder mit dem Proxy des externen Schlüsselspeichers verbinden. Sie können den externen Schlüsselspeicher im getrennten Zustand belassen, müssen ihn aber wieder verbinden, bevor Sie neue KMS-Schlüssel im Schlüsselspeicher erstellen oder vorhandene KMS-Schlüssel im Schlüsselspeicher für kryptografische Vorgänge verwenden können.
Anmerkung
Wenn Sie AWS CLI Version 1.0 verwenden, führen Sie den folgenden Befehl aus, bevor Sie einen Parameter mit einem HTTP- oder HTTPS-Wert angeben, wie beispielsweise den Parameter XksProxyUriEndpoint.
aws configure set cli_follow_urlparam false
Andernfalls ersetzt AWS CLI Version 1.0 den Parameterwert durch den unter dieser URI-Adresse gefundenen Inhalt und verursacht den folgenden Fehler:
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve https:// : received non 200 status code of 404
Ändern des Namens des externen Schlüsselspeichers
Im ersten Beispiel wird die -UpdateCustomKeyStoreOperation verwendet, um den Anzeigenamen des externen Schlüsselspeichers in zu ändernXksKeyStore. Der Befehl verwendet den Parameter CustomKeyStoreId, um den benutzerdefinierten Schlüsselspeicher zu identifizieren, und den Parameter CustomKeyStoreName, um den neuen Namen für den benutzerdefinierten Schlüsselspeicher anzugeben. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0--new-custom-key-store-nameXksKeyStore
Ändern der Anmeldeinformation für die Proxy-Authentifizierung
Im folgenden Beispiel wird die Anmeldeinformation für die Proxy-Authentifizierung aktualisiert, die AWS KMS für die Authentifizierung beim Proxy des externen Schlüsselspeichers verwendet. Sie können einen Befehl wie diesen verwenden, um die Anmeldeinformation zu aktualisieren, wenn sie auf Ihrem Proxy rotiert werden.
Aktualisieren Sie zuerst die Anmeldeinformation auf Ihrem externen Schlüsselspeicher-Proxy. Verwenden Sie dann dieses Feature, um die Änderung an AWS KMS zu melden. (Ihr Proxy wird kurzzeitig sowohl die alte als auch die neue Anmeldeinformation unterstützen, damit Sie Zeit haben, Ihre Anmeldeinformation in AWS KMS zu aktualisieren
Sie müssen immer sowohl die Zugriffsschlüssel-ID als auch den geheimen Zugriffsschlüssel in der Anmeldeinformation angeben, auch wenn nur ein Wert geändert wird.
Die ersten beiden Befehle legen Variablen fest, die die Anmeldeinformationswerte enthalten. Der Vorgang UpdateCustomKeyStore verwendet den Parameter CustomKeyStoreId, um den externen Schlüsselspeicher zu identifizieren. Er verwendet den Parameter XksProxyAuthenticationCredential mit seinen Feldern AccessKeyId und RawSecretAccessKey, um die neue Anmeldeinformation festzulegen. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.
$accessKeyID=access key id$secretAccessKey=secret access key$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-authentication-credential \ AccessKeyId=$accessKeyId,RawSecretAccessKey=$secretAccessKey
Ändern des Proxy-URI-Pfads
Im folgenden Beispiel wird der Proxy-URI-Pfad (XksProxyUriPath) aktualisiert. Die Kombination aus dem Proxy-URI-Endpunkt und dem Proxy-URI-Pfad muss für das AWS-Konto und die Region eindeutig sein. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-uri-path/kms/xks/v1
Umstellen auf Konnektivität eines VPC-Endpunkt-Service
Im folgenden Beispiel wird die -UpdateCustomKeyStoreOperation verwendet, um den Proxy-Konnektivitätstyp des externen Schlüsselspeichers in zu ändernVPC_ENDPOINT_SERVICE. Um diese Änderung vorzunehmen, müssen Sie die erforderlichen Werte für die Konnektivität eines VPC-Endpunkt-Service angeben, einschließlich des Namens des VPC-Endpunktservice (XksProxyVpcEndpointServiceName) und eines Proxy-URI-Endpunktwerts (XksProxyUriEndpoint), der den privaten DNS-Namen für den VPC-Endpunktservice enthält. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \ --xks-proxy-uri-endpointhttps://myproxy-private.xks.example.com\ --xks-proxy-vpc-endpoint-service-namecom.amazonaws.vpce.us-east-1.vpce-svc-example
Umstellen auf Konnektivität eines öffentlichen Endpunkts
Im folgenden Beispiel wird der Proxy-Konnektivitätstyp des externen Schlüsselspeichers in PUBLIC_ENDPOINT geändert. Wenn Sie diese Änderung vornehmen, müssen Sie den Wert des Proxy-URI-Endpunkts (XksProxyUriEndpoint) aktualisieren. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.
Anmerkung
VPC-Endpunktkonnektivität bietet mehr Sicherheit als öffentliche Endpunktkonnektivität. Bevor Sie auf öffentliche Endpunktkonnektivität umstellen, sollten Sie andere Optionen in Betracht ziehen, z. B. den Proxy für den externen Schlüsselspeicher On-Premises zu platzieren und die VPC nur für die Kommunikation zu nutzen.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-connectivity "PUBLIC_ENDPOINT" \ --xks-proxy-uri-endpoint https://myproxy.xks.example.com
