Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Eigenschaften des externen Schlüsselspeichers bearbeiten
Sie können ausgewählte Eigenschaften eines vorhandenen externen Schlüsselspeichers bearbeiten.
Sie können einige Eigenschaften bearbeiten, während der externe Schlüsselspeicher verbunden oder getrennt ist. Für andere Eigenschaften müssen Sie zuerst Ihren externen Schlüsselspeicher vom Proxy des externen Schlüsselspeichers trennen. Der Verbindungsstatus des externen Schlüsselspeichers muss DISCONNECTED sein. Solange Ihr externer Schlüsselspeicher getrennt ist, können Sie den Schlüsselspeicher und seine KMS Schlüssel verwalten, aber Sie können keine KMS Schlüssel im externen Schlüsselspeicher erstellen oder verwenden. Um den Verbindungsstatus Ihres externen Schlüsselspeichers zu ermitteln, verwenden Sie den DescribeCustomKeyStoresVorgang oder lesen Sie den Abschnitt Allgemeine Konfiguration auf der Detailseite für den externen Schlüsselspeicher.
Bevor Sie die Eigenschaften Ihres externen Schlüsselspeichers aktualisieren, AWS KMS sendet er unter Verwendung der neuen Werte eine GetHealthStatusAnfrage an den externen Schlüsselspeicher-Proxy. Wenn die Anforderung erfolgreich ist, bedeutet dies, dass Sie eine Verbindung zu einem Proxy des externen Schlüsselspeichers herstellen und sich mit den aktualisierten Eigenschaftswerten authentifizieren können. Schlägt die Anforderung fehl, schlägt der Bearbeitungsvorgang mit einer Ausnahme fehl, die den Fehler identifiziert.
Wenn der Bearbeitungsvorgang abgeschlossen ist, werden die aktualisierten Eigenschaftswerte für Ihren externen Schlüsselspeicher in der AWS KMS Konsole und in der DescribeCustomKeyStores Antwort angezeigt. Es kann jedoch bis zu fünf Minuten dauern, bis die Änderungen vollständig wirksam werden.
Wenn Sie Ihren externen Schlüsselspeicher in der AWS KMS Konsole bearbeiten, haben Sie die Möglichkeit, eine JSON basierte Proxykonfigurationsdatei hochzuladen, die den URIProxypfad und die Anmeldeinformationen für die Proxyauthentifizierung angibt. Einige externe Schlüsselspeicher-Proxys generieren diese Datei für Sie. Einzelheiten finden Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager.
Warnung
Die aktualisierten Eigenschaftswerte müssen Ihren externen Schlüsselspeicher mit einem Proxy für denselben externen Schlüsselmanager wie die vorherigen Werte oder für eine Sicherung oder einen Snapshot des externen Schlüsselmanagers mit denselben kryptografischen Schlüsseln verbinden. Wenn Ihr externer Schlüsselspeicher dauerhaft den Zugriff auf die mit seinen Schlüsseln verknüpften externen Schlüssel verliert, kann der unter diesen externen KMS Schlüsseln verschlüsselte Chiffretext nicht wiederhergestellt werden. Insbesondere kann durch eine Änderung der Proxykonnektivität eines externen Schlüsselspeichers der Zugriff auf Ihre externen Schlüssel AWS KMS verhindert werden.
Tipp
Einige externe Schlüsselmanager bieten eine einfachere Methode zur Bearbeitung der Eigenschaften externer Schlüsselspeicher. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.
Sie können die folgenden Eigenschaften eines externen Schlüsselspeichers ändern:
| Bearbeitbare Eigenschaften eines externen Schlüsselspeichers | Beliebiger Verbindungsstatus | Status „Disconnected“ (Verbindung getrennt) erforderlich |
|---|---|---|
| Name des benutzerdefinierten Schlüsselspeichers Ein erforderlicher Anzeigename für einen benutzerdefinierten Schlüsselspeicher. WichtigGeben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden. |
 |
|
| Anmeldeinformationen für die Proxyauthentifizierung () XksProxyAuthenticationCredential (Sie müssen sowohl die Zugriffsschlüssel-ID als auch den geheimen Zugriffsschlüssel angeben, auch wenn Sie nur ein Element ändern.) |
|
|
| URIProxypfad () XksProxyUriPath | |
|
| Proxy-Konnektivität (XksProxyConnectivity) (Sie müssen auch den URI Proxy-Endpunkt aktualisieren. Wenn Sie zu VPC Endpoint Service Connectivity wechseln, müssen Sie einen VPC Proxy-Endpunktdienstnamen angeben.) |
|
|
| URIProxy-Endpunkt (XksProxyUriEndpoint) Wenn Sie den Proxy-Endpunkt ändernURI, müssen Sie möglicherweise auch das zugehörige TLS Zertifikat ändern. |
|
|
| Dienstname des VPC Proxyendpunkts (XksProxyVpcEndpointServiceName) (Dieses Feld ist für die VPC Endpunktdienstkonnektivität erforderlich) |
|
Bearbeiten Sie die Eigenschaften Ihres externen Schlüsselspeichers
Sie können die Eigenschaften Ihres externen Schlüsselspeichers in der AWS KMS Konsole oder mithilfe des UpdateCustomKeyStoreVorgangs bearbeiten.
Wenn Sie einen Schlüsselspeicher bearbeiten, können Sie die bearbeitbaren Werte beliebig ändern. Einige Änderungen erfordern, dass der externe Schlüsselspeicher von seinem externen Schlüsselspeicher-Proxy getrennt wird.
Wenn Sie den URI Proxypfad oder die Anmeldeinformationen für die Proxyauthentifizierung bearbeiten, können Sie die neuen Werte eingeben oder eine Proxy-Konfigurationsdatei für den externen Schlüsselspeicher hochladen, die die neuen Werte enthält.
-
Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms
. -
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
Wählen Sie im Navigationsbereich Custom key stores (Benutzerdefinierte Schlüsselspeicher), External key stores (Externe Schlüsselspeicher) aus.
-
Wählen Sie die Zeile des externen Schlüsselspeichers aus, den Sie bearbeiten möchten.
-
Falls erforderlich, trennen Sie den externen Schlüsselspeicher von seinem externen Schlüsselspeicher-Proxy. Wählen Sie im Menü Key store actions (Schlüsselspeicheraktionen) die Option Disconnect (Verbindung trennen) aus.
-
Wählen Sie im Menü Key store actions (Schlüsselspeicheraktionen) die Option Edit (Bearbeiten) aus.
-
Ändern Sie eine oder mehrere der bearbeitbaren Eigenschaften des externen Schlüsselspeichers. Sie können auch eine externe Schlüsselspeicher-Proxykonfigurationsdatei mit Werten für den URI Proxypfad und die Anmeldeinformationen für die Proxyauthentifizierung hochladen. Sie können eine Proxykonfigurationsdatei verwenden, auch wenn sich einige in der Datei angegebene Werte nicht geändert haben.
-
Wählen Sie Update external key store (Aktualisieren des externen Schlüsselspeichers).
-
Überprüfen Sie die Warnung, und wenn Sie fortfahren möchten, bestätigen Sie die Warnung und wählen Sie dann Update external key store (Aktualisieren des externen Schlüsselspeichers).
Wenn der Vorgang erfolgreich ist, wird eine Meldung mit einer Beschreibung der von Ihnen bearbeiteten Eigenschaften angezeigt. Wenn der Vorgang nicht erfolgreich ist, wird Ihnen eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt.
-
Falls erforderlich, verbinden Sie den externen Schlüsselspeicher wieder. Wählen Sie im Menü Key store actions (Schlüsselspeicheraktionen) die Option Connect (Verbinden) aus.
Sie können die Verbindung des externen Schlüsselspeichers getrennt lassen. Solange die Verbindung unterbrochen ist, können Sie jedoch keine KMS Schlüssel im externen Schlüsselspeicher erstellen oder die KMS Schlüssel im externen Schlüsselspeicher für kryptografische Operationen verwenden.
Verwenden Sie den UpdateCustomKeyStoreVorgang, um die Eigenschaften eines externen Schlüsselspeichers zu ändern. Sie können mehrere Eigenschaften eines externen Schlüsselspeichers mit demselben Vorgang ändern. Wenn der Vorgang erfolgreich ist, wird eine Antwort von HTTP 200 und ein JSON Objekt ohne Eigenschaften AWS KMS zurückgegeben.
Verwenden Sie den CustomKeyStoreId-Parameter, um den externen Schlüsselspeicher zu identifizieren. Verwenden Sie die anderen Parameter, um die Eigenschaften zu ändern. Sie können für den UpdateCustomKeyStore-Vorgang keine Proxy-Konfigurationsdatei verwenden. Die Proxy-Konfigurationsdatei wird nur von der AWS KMS Konsole unterstützt. Sie können aber die Proxy-Konfigurationsdatei verwenden, um die richtigen Parameterwerte für Ihren externen Schlüsselspeicher-Proxy zu ermitteln.
Für diese Beispiele wird die AWS Command Line Interface
(AWS CLI)
Bevor Sie beginnen, trennen Sie ggf. die Verbindung des externen Schlüsselspeichers mit dem Proxy des externen Schlüsselspeichers. Nach der Aktualisierung können Sie den externen Schlüsselspeicher bei Bedarf wieder mit dem Proxy des externen Schlüsselspeichers verbinden. Sie können den externen Schlüsselspeicher im getrennten Zustand belassen, müssen ihn jedoch erneut verbinden, bevor Sie neue KMS Schlüssel im Schlüsselspeicher erstellen oder vorhandene KMS Schlüssel im Schlüsselspeicher für kryptografische Operationen verwenden können.
Anmerkung
Wenn Sie AWS CLI Version 1.0 verwenden, führen Sie den folgenden Befehl aus, bevor Sie einen Parameter mit einem HTTP HTTPS OR-Wert angeben, z. B. den Parameter. XksProxyUriEndpoint
aws configure set cli_follow_urlparam false
Andernfalls ersetzt AWS CLI Version 1.0 den Parameterwert durch den Inhalt, der an dieser URI Adresse gefunden wurde, was den folgenden Fehler verursacht:
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve https:// : received non 200 status code of 404
Ändern des Namens des externen Schlüsselspeichers
Im ersten Beispiel wird der UpdateCustomKeyStoreVorgang verwendet, um den Anzeigenamen des externen Schlüsselspeichers in zu ändernXksKeyStore. Der Befehl verwendet den Parameter CustomKeyStoreId, um den benutzerdefinierten Schlüsselspeicher zu identifizieren, und den Parameter CustomKeyStoreName, um den neuen Namen für den benutzerdefinierten Schlüsselspeicher anzugeben. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0--new-custom-key-store-nameXksKeyStore
Ändern der Anmeldeinformation für die Proxy-Authentifizierung
Im folgenden Beispiel werden die Anmeldeinformationen für die Proxyauthentifizierung aktualisiert, die für die Authentifizierung beim externen Schlüsselspeicher-Proxy AWS KMS verwendet werden. Sie können einen Befehl wie diesen verwenden, um die Anmeldeinformation zu aktualisieren, wenn sie auf Ihrem Proxy rotiert werden.
Aktualisieren Sie zuerst die Anmeldeinformation auf Ihrem externen Schlüsselspeicher-Proxy. Verwenden Sie dann dieses Feature, um die Änderung an AWS KMS zu melden. (Ihr Proxy unterstützt kurzzeitig sowohl die alten als auch die neuen Anmeldeinformationen, sodass Sie Zeit haben, Ihre Anmeldeinformationen zu aktualisieren.) AWS KMS
Sie müssen immer sowohl die Zugriffsschlüssel-ID als auch den geheimen Zugriffsschlüssel in der Anmeldeinformation angeben, auch wenn nur ein Wert geändert wird.
Die ersten beiden Befehle legen Variablen fest, die die Anmeldeinformationswerte enthalten. Der Vorgang UpdateCustomKeyStore verwendet den Parameter CustomKeyStoreId, um den externen Schlüsselspeicher zu identifizieren. Er verwendet den Parameter XksProxyAuthenticationCredential mit seinen Feldern AccessKeyId und RawSecretAccessKey, um die neue Anmeldeinformation festzulegen. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.
$accessKeyID=access key id$secretAccessKey=secret access key$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-authentication-credential \ AccessKeyId=$accessKeyId,RawSecretAccessKey=$secretAccessKey
Ändern Sie den Proxy-Pfad URI
Im folgenden Beispiel wird der URI Proxypfad (XksProxyUriPath) aktualisiert. Die Kombination aus dem URI Proxyendpunkt und dem URI Proxypfad muss in der Region AWS-Konto und eindeutig sein. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-uri-path/kms/xks/v1
Wechseln Sie zur VPC Endpunktdienstkonnektivität
Im folgenden Beispiel wird der UpdateCustomKeyStoreVorgang verwendet, um den Proxykonnektivitätstyp des externen Schlüsselspeichers in zu ändernVPC_ENDPOINT_SERVICE. Um diese Änderung vorzunehmen, müssen Sie die erforderlichen Werte für die VPC Endpunktdienstkonnektivität angeben, einschließlich des VPC Endpunktdienstnamens (XksProxyVpcEndpointServiceName) und eines Werts für den URI Proxyendpunkt (XksProxyUriEndpoint), der den privaten DNS Namen für den VPC Endpunktdienst enthält. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \ --xks-proxy-uri-endpointhttps://myproxy-private.xks.example.com\ --xks-proxy-vpc-endpoint-service-namecom.amazonaws.vpce.us-east-1.vpce-svc-example
Umstellen auf Konnektivität eines öffentlichen Endpunkts
Im folgenden Beispiel wird der Proxy-Konnektivitätstyp des externen Schlüsselspeichers in PUBLIC_ENDPOINT geändert. Wenn Sie diese Änderung vornehmen, müssen Sie den Wert für den URI Proxyendpunkt (XksProxyUriEndpoint) aktualisieren. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.
Anmerkung
VPCEndpunktkonnektivität bietet mehr Sicherheit als öffentliche Endpunktkonnektivität. Bevor Sie zur Konnektivität öffentlicher Endgeräte wechseln, sollten Sie andere Optionen in Betracht ziehen, z. B. die Ortung Ihres externen Schlüsselspeicher-Proxys vor Ort und die VPC ausschließliche Verwendung dieses Proxys für die Kommunikation.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-connectivity "PUBLIC_ENDPOINT" \ --xks-proxy-uri-endpoint https://myproxy.xks.example.com
