Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Eigenschaften des externen Schlüsselspeichers bearbeiten
<a name="update-xks-keystore"></a>

Sie können ausgewählte Eigenschaften eines vorhandenen externen Schlüsselspeichers bearbeiten. 

Sie können einige Eigenschaften bearbeiten, während der externe Schlüsselspeicher verbunden oder getrennt ist. Für andere Eigenschaften müssen Sie zuerst [Ihren externen Schlüsselspeicher vom Proxy des externen Schlüsselspeichers trennen](xks-connect-disconnect.md). Der [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) des externen Schlüsselspeichers muss `DISCONNECTED` sein. Während ein externer Schlüsselspeicher getrennt ist, können Sie den Schlüsselspeicher und seine KMS-Schlüssel verwalten, aber Sie können keine KMS-Schlüssel im externen Schlüsselspeicher erstellen oder verwenden. Um den [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) Ihres externen Schlüsselspeichers zu ermitteln, verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang oder lesen Sie den Abschnitt **Allgemeine Konfiguration** auf der Detailseite für den externen Schlüsselspeicher.

Bevor Sie die Eigenschaften Ihres externen Schlüsselspeichers aktualisieren, AWS KMS sendet er unter Verwendung der neuen Werte eine [GetHealthStatus](keystore-external.md#concept-proxy-apis)Anfrage an den externen Schlüsselspeicher-Proxy. Wenn die Anforderung erfolgreich ist, bedeutet dies, dass Sie eine Verbindung zu einem Proxy des externen Schlüsselspeichers herstellen und sich mit den aktualisierten Eigenschaftswerten authentifizieren können. Schlägt die Anforderung fehl, schlägt der Bearbeitungsvorgang mit einer Ausnahme fehl, die den Fehler identifiziert.

Wenn der Bearbeitungsvorgang abgeschlossen ist, werden die aktualisierten Eigenschaftswerte für Ihren externen Schlüsselspeicher in der AWS KMS Konsole und in der `DescribeCustomKeyStores` Antwort angezeigt. Es kann jedoch bis zu fünf Minuten dauern, bis die Änderungen vollständig wirksam werden.

Wenn Sie Ihren externen Schlüsselspeicher in der AWS KMS Konsole bearbeiten, haben Sie die Möglichkeit, eine JSON-basierte [Proxy-Konfigurationsdatei hochzuladen, die den [Proxy-URI-Pfad](create-xks-keystore.md#require-path)](create-xks-keystore.md#proxy-configuration-file) und die Anmeldeinformationen für die [Proxyauthentifizierung](keystore-external.md#concept-xks-credential) angibt. Einige externe Schlüsselspeicher-Proxys generieren diese Datei für Sie. Einzelheiten finden Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager.

**Warnung**  
Die aktualisierten Eigenschaftswerte müssen Ihren externen Schlüsselspeicher mit einem Proxy für denselben externen Schlüsselmanager wie die vorherigen Werte oder für eine Sicherung oder einen Snapshot des externen Schlüsselmanagers mit denselben kryptografischen Schlüsseln verbinden. Wenn Ihr externer Schlüsselspeicher dauerhaft den Zugriff auf die externen Schlüssel verliert, die mit seinen KMS-Schlüsseln verknüpft sind, kann der mit diesen externen Schlüsseln verschlüsselte Geheimtext nicht wiederhergestellt werden. Insbesondere kann durch eine Änderung der Proxykonnektivität eines externen Schlüsselspeichers der Zugriff auf Ihre externen Schlüssel AWS KMS verhindert werden.

**Tipp**  
Einige externe Schlüsselmanager bieten eine einfachere Methode zur Bearbeitung der Eigenschaften externer Schlüsselspeicher. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.

Sie können die folgenden Eigenschaften eines externen Schlüsselspeichers ändern:


| Bearbeitbare Eigenschaften eines externen Schlüsselspeichers | Beliebiger Verbindungsstatus | Status „Disconnected“ (Verbindung getrennt) erforderlich | 
| --- | --- | --- | 
| Name des benutzerdefinierten Schlüsselspeichers Ein erforderlicher Anzeigename für einen benutzerdefinierten Schlüsselspeicher. Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/icon-successful.png) |  | 
| [Anmeldeinformationen für die Proxyauthentifizierung](keystore-external.md#concept-xks-credential) () XksProxyAuthenticationCredential(Sie müssen sowohl die Zugriffsschlüssel-ID als auch den geheimen Zugriffsschlüssel angeben, auch wenn Sie nur ein Element ändern.) | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/icon-successful.png) |  | 
| [Proxy-URI-Pfad](create-xks-keystore.md#require-path) () XksProxyUriPath | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/icon-successful.png) |  | 
| [Proxy-Konnektivität](keystore-external.md#concept-xks-connectivity) (XksProxyConnectivity)(Sie müssen auch den Proxy-URI-Endpunkt aktualisieren. Wenn Sie zur Konnektivität eines VPC-Endpunkt-Service wechseln, müssen Sie einen Namen für den Proxy-VPC-Endpunkt-Service angeben.) |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/icon-successful.png) | 
| [Proxy-URI-Endpunkt](create-xks-keystore.md#require-endpoint) (XksProxyUriEndpoint)Wenn Sie den Proxy-Endpunkt-URI ändern, müssen Sie möglicherweise auch das zugehörige TLS-Zertifikat ändern. |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/icon-successful.png) | 
| [Proxy-VPC-Endpunktdienstname](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceName(Dieses Feld ist für die Konnektivität eines VPC-Endpunkt-Service erforderlich) |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/icon-successful.png) | 
| [Besitzer des VPC-Endpunktdienstes](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceOwner(Dieses Feld ist für die Konnektivität eines VPC-Endpunkt-Service erforderlich) |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/icon-successful.png) | 

## Bearbeiten Sie die Eigenschaften Ihres externen Schlüsselspeichers
<a name="edit-xks-keystore"></a>

Sie können die Eigenschaften Ihres externen Schlüsselspeichers in der AWS KMS Konsole oder mithilfe des [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)Vorgangs bearbeiten.

### Mithilfe der AWS KMS Konsole
<a name="update-keystore-console"></a>

Wenn Sie einen Schlüsselspeicher bearbeiten, können Sie jeden der bearbeitbaren Werte ändern. Einige Änderungen erfordern, dass der externe Schlüsselspeicher von seinem externen Schlüsselspeicher-Proxy getrennt wird.

Wenn Sie den Proxy-URI-Pfad oder die Anmeldeinformation für die Proxy-Authentifizierung bearbeiten, können Sie die neuen Werte eingeben oder eine [Proxykonfigurationsdatei](create-xks-keystore.md#proxy-configuration-file) für den externen Schlüsselspeicher hochladen, die die neuen Werte enthält.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Wählen Sie im Navigationsbereich **Custom key stores** (Benutzerdefinierte Schlüsselspeicher), **External key stores** (Externe Schlüsselspeicher) aus.

1. Wählen Sie den Schlüsselspeicher aus, den Sie bearbeiten möchten.

   1. Falls erforderlich, trennen Sie den externen Schlüsselspeicher von seinem externen Schlüsselspeicher-Proxy. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Disconnect** (Verbindung trennen) aus.

1. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Edit** (Bearbeiten) aus.

1. Ändern Sie eine oder mehrere der bearbeitbaren Eigenschaften des externen Schlüsselspeichers. Sie können auch eine [Proxy-Konfigurationsdatei](create-xks-keystore.md#proxy-configuration-file) für den externen Schlüsselspeicher mit Werten für den Proxy-URI-Pfad und der Anmeldeinformation für die Proxy-Authentifizierung hochladen. Sie können eine Proxy-Konfigurationsdatei auch dann verwenden, wenn sich einige in der Datei angegebene Werte nicht geändert haben.

1. Wählen Sie **Update external key store** (Aktualisieren des externen Schlüsselspeichers). 

1. Überprüfen Sie die Warnung, und wenn Sie fortfahren möchten, bestätigen Sie die Warnung und wählen Sie dann **Update external key store** (Aktualisieren des externen Schlüsselspeichers).

   Wenn der Vorgang erfolgreich ist, wird eine Meldung mit einer Beschreibung der von Ihnen bearbeiteten Eigenschaften angezeigt. Wenn der Vorgang nicht erfolgreich ist, wird Ihnen eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt.

1. Falls erforderlich, verbinden Sie den externen Schlüsselspeicher wieder. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Connect** (Verbinden) aus.

   Sie können die Verbindung des externen Schlüsselspeichers getrennt lassen. Solange die Verbindung getrennt ist, können Sie jedoch keine KMS-Schlüssel im externen Schlüsselspeicher erstellen oder die KMS-Schlüssel im externen Schlüsselspeicher für [kryptografische Vorgänge](manage-cmk-keystore.md#use-cmk-keystore) verwenden.

### Verwenden der AWS KMS API
<a name="update-keystore-api"></a>

Verwenden Sie den [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)Vorgang, um die Eigenschaften eines externen Schlüsselspeichers zu ändern. Sie können mehrere Eigenschaften eines externen Schlüsselspeichers mit demselben Vorgang ändern. Wenn der Vorgang erfolgreich ist, werden eine HTTP 200-Antwort und ein JSON-Objekt ohne Eigenschaften AWS KMS zurückgegeben. 

Verwenden Sie den `CustomKeyStoreId`-Parameter, um den externen Schlüsselspeicher zu identifizieren. Verwenden Sie die anderen Parameter, um die Eigenschaften zu ändern. Sie können für den `UpdateCustomKeyStore`-Vorgang keine [Proxy-Konfigurationsdatei](create-xks-keystore.md#proxy-configuration-file) verwenden. Die Proxy-Konfigurationsdatei wird nur von der AWS KMS Konsole unterstützt. Sie können aber die Proxy-Konfigurationsdatei verwenden, um die richtigen Parameterwerte für Ihren externen Schlüsselspeicher-Proxy zu ermitteln.

Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen. 

Bevor Sie beginnen, [trennen Sie [ggf.](#update-xks-keystore) die Verbindung des externen Schlüsselspeichers](xks-connect-disconnect.md) mit dem Proxy des externen Schlüsselspeichers. Nach der Aktualisierung können Sie den [externen Schlüsselspeicher bei Bedarf wieder mit dem Proxy des externen Schlüsselspeichers verbinden](xks-connect-disconnect.md). Sie können den externen Schlüsselspeicher im getrennten Zustand belassen, müssen ihn aber wieder verbinden, bevor Sie neue KMS-Schlüssel im Schlüsselspeicher erstellen oder vorhandene KMS-Schlüssel im Schlüsselspeicher für kryptografische Vorgänge verwenden können.

**Anmerkung**  
Wenn Sie AWS CLI Version 1.0 verwenden, führen Sie den folgenden Befehl aus, bevor Sie einen Parameter mit einem HTTP- oder HTTPS-Wert angeben, z. B. den `XksProxyUriEndpoint` Parameter.  

```
aws configure set cli_follow_urlparam false
```
Andernfalls ersetzt AWS CLI Version 1.0 den Parameterwert durch den Inhalt, der an dieser URI-Adresse gefunden wurde, was den folgenden Fehler verursacht:  

```
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404
```

#### Ändern des Namens des externen Schlüsselspeichers
<a name="xks-edit-name"></a>

Das erste Beispiel verwendet die [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)Operation, um den Anzeigenamen des externen Schlüsselspeichers in zu ändern`XksKeyStore`. Der Befehl verwendet den Parameter `CustomKeyStoreId`, um den benutzerdefinierten Schlüsselspeicher zu identifizieren, und den Parameter `CustomKeyStoreName`, um den neuen Namen für den benutzerdefinierten Schlüsselspeicher anzugeben. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name XksKeyStore
```

#### Ändern der Anmeldeinformation für die Proxy-Authentifizierung
<a name="xks-edit-credential"></a>

Im folgenden Beispiel wird die Anmeldeinformation für die Proxy-Authentifizierung aktualisiert, die AWS KMS für die Authentifizierung beim Proxy des externen Schlüsselspeichers verwendet. Sie können einen Befehl wie diesen verwenden, um die Anmeldeinformation zu aktualisieren, wenn sie auf Ihrem Proxy rotiert werden.

Aktualisieren Sie zuerst die Anmeldeinformation auf Ihrem externen Schlüsselspeicher-Proxy. Verwenden Sie dann dieses Feature, um die Änderung an AWS KMS zu melden. (Ihr Proxy unterstützt kurzzeitig sowohl die alten als auch die neuen Anmeldeinformationen, sodass Sie Zeit haben, Ihre Anmeldeinformationen zu aktualisieren.) AWS KMS

Sie müssen immer sowohl die Zugriffsschlüssel-ID als auch den geheimen Zugriffsschlüssel in der Anmeldeinformation angeben, auch wenn nur ein Wert geändert wird. 

Die ersten beiden Befehle legen Variablen fest, die die Anmeldeinformationswerte enthalten. Der Vorgang `UpdateCustomKeyStore` verwendet den Parameter `CustomKeyStoreId`, um den externen Schlüsselspeicher zu identifizieren. Er verwendet den Parameter `XksProxyAuthenticationCredential` mit seinen Feldern `AccessKeyId` und `RawSecretAccessKey`, um die neue Anmeldeinformation festzulegen. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.

```
$ accessKeyID=access key id
$ secretAccessKey=secret access key

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
        --xks-proxy-authentication-credential \ 
            AccessKeyId=$accessKeyId,RawSecretAccessKey=$secretAccessKey
```

#### Ändern des Proxy-URI-Pfads
<a name="xks-edit-path"></a>

Im folgenden Beispiel wird der Proxy-URI-Pfad (`XksProxyUriPath`) aktualisiert. Die Kombination aus dem Proxy-URI-Endpunkt und dem Proxy-URI-Pfad muss in der Region AWS-Konto und eindeutig sein. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-uri-path /kms/xks/v1
```

#### Umstellen auf Konnektivität eines VPC-Endpunkt-Service
<a name="xks-edit-connectivity-vpc"></a>

Im folgenden Beispiel wird der [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)Vorgang verwendet, um den Proxykonnektivitätstyp des externen Schlüsselspeichers auf zu ändern`VPC_ENDPOINT_SERVICE`. Um diese Änderung vorzunehmen, müssen Sie die erforderlichen Werte für die Konnektivität eines VPC-Endpunkt-Service angeben, einschließlich des Namens des VPC-Endpunktservice (`XksProxyVpcEndpointServiceName`) und eines Proxy-URI-Endpunktwerts (`XksProxyUriEndpoint`), der den privaten DNS-Namen für den VPC-Endpunktservice enthält. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \
            --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
            --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example
```

#### Umstellen auf Konnektivität eines öffentlichen Endpunkts
<a name="xks-edit-connectivity-public"></a>

Im folgenden Beispiel wird der Proxy-Konnektivitätstyp des externen Schlüsselspeichers in `PUBLIC_ENDPOINT` geändert. Wenn Sie diese Änderung vornehmen, müssen Sie den Wert des Proxy-URI-Endpunkts (`XksProxyUriEndpoint`) aktualisieren. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.

**Anmerkung**  
VPC-Endpunktkonnektivität bietet mehr Sicherheit als öffentliche Endpunktkonnektivität. Bevor Sie auf öffentliche Endpunktkonnektivität umstellen, sollten Sie andere Optionen in Betracht ziehen, z. B. den Proxy für den externen Schlüsselspeicher On-Premises zu platzieren und die VPC nur für die Kommunikation zu nutzen. 

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "PUBLIC_ENDPOINT" \
            --xks-proxy-uri-endpoint https://myproxy.xks.example.com
```