Edición de la configuración del almacén de claves de AWS CloudHSM - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Edición de la configuración del almacén de claves de AWS CloudHSM

Puede modificar la configuración de un almacén de claves de AWS CloudHSM existente. El almacén de claves personalizado debe estar desconectado de su clúster de AWS CloudHSM.

Para editar la configuración del almacén de claves de AWS CloudHSM:

  1. Desconecte el almacén de claves personalizado de su clúster de AWS CloudHSM.

    Mientras el almacén de claves personalizado esté desconectado, no podrá crear AWS KMS keys (claves KMS) en el almacén de claves personalizado y no podrán usar las claves KMS que contiene en operaciones criptográficas.

  2. Edite una o más de las configuraciones del almacén de claves de AWS CloudHSM.

    Puede editar la siguiente configuración en un almacén de claves personalizado:

    El nombre fácil de recordar del almacén de claves personalizado.

    Escriba un nuevo nombre fácil de recordar. El nuevo nombre debe ser único entre todos los almacenes de claves personalizados de su Cuenta de AWS.

    importante

    No incluya información confidencial en este campo. Este campo puede mostrarse en texto sin formato en los registros de CloudTrail y en otros resultados.

    El ID del clúster de AWS CloudHSM asociado.

    Edite este valor para sustituir un clúster de AWS CloudHSM relacionado por el original. Puede utilizar esta característica para reparar un almacén de claves personalizado si se daña o elimina su clúster de AWS CloudHSM.

    Especifique un clúster de AWS CloudHSM que comparta un historial de copias de seguridad con el clúster original y cumpla los requisitos de asociación con un almacén de claves personalizado, incluidos dos HSM activos en zonas de disponibilidad distintas. Los clústers que comparten un historial de copias de seguridad deben tener el mismo certificado del clúster. Para ver el certificado de un clúster, utilice la operación DescribeClusters. No puede usar la característica de edición para asociar el almacén de claves personalizado con un clúster de AWS CloudHSM sin relación.

    La contraseña actual del kmsuser usuario de criptografía (CU).

    Le indica a AWS KMS la contraseña actual del CU kmsuser en el clúster de AWS CloudHSM. Esta acción no cambia la contraseña del CU kmsuser en el clúster de AWS CloudHSM.

    Si cambia la contraseña del CU kmsuser en el clúster de AWS CloudHSM, use esta característica para comunicarle a AWS KMS la nueva contraseña de kmsuser. De lo contrario, AWS KMS no podrá iniciar sesión en el clúster y todos los intentos de conexión del almacén de claves personalizado al clúster darán error.

  3. Vuelva a conectar el almacén de claves personalizado a su clúster de AWS CloudHSM.

Edición de su configuración del almacén de claves

Puede editar la configuración del almacén de claves de AWS CloudHSM en la consola de AWS KMS o mediante la operación UpdateCustomKeyStore.

Al editar un almacén de claves de AWS CloudHSM, puede cambiar cualquiera de los valores configurables.

  1. Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Almacenes de claves personalizados, Almacenes de claves de AWS CloudHSM.

  4. Elija la fila del almacén de claves de AWS CloudHSM que quiere editar.

    Si el valor de la columna Connection state (Estado de conexión) no es Disconnected (Desconectado), deberá desconectar el almacén de claves personalizado antes de editarlo. [En el menú Key store actions (Acciones del almacén de claves), seleccione Disconnect (Desconectar)].

    Mientras un almacén de claves de AWS CloudHSM esté desconectado, podrá administrar el almacén de claves de AWS CloudHSM y sus claves de KMS, pero no podrá crear ni usar las claves de KMS en el almacén de claves de AWS CloudHSM.

  5. Desde el menú Key store actions (Acciones del almacén de claves), seleccione Edit (Editar).

  6. Realice una o más de las siguientes acciones.

    • Escriba un nuevo nombre fácil de recordar para el almacén de claves personalizado.

    • Escriba el ID del clúster de un clúster de AWS CloudHSM relacionado.

    • Escriba la contraseña actual del usuario de criptografía kmsuser en el clúster de AWS CloudHSM asociado.

  7. Seleccione Guardar.

    Si el procedimiento se ejecuta correctamente, aparecerá un mensaje donde se describe la configuración que ha editado. Si el procedimiento da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo. Si necesita más ayuda, consulte Resolver problemas de un almacén de claves personalizado.

  8. Vuelva a conectar el almacén de claves personalizado.

    Para utilizar el almacén de claves de AWS CloudHSM deberá volverlo a conectar después de editarlo. Puede dejar el almacén de claves de AWS CloudHSM desconectado. Pero mientras esté desconectado, no podrá crear las claves de KMS en el almacén de claves de AWS CloudHSM ni usar las claves de KMS del almacén de claves de AWS CloudHSM en operaciones criptográficas.

Para modificar las propiedades de un almacén de claves de AWS CloudHSM, utilice la operación UpdateCustomKeyStore. Puede cambiar varias propiedades de un almacén de claves personalizado en el mismo comando. Si la operación se realiza correctamente, AWS KMS devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades. Para verificar que los cambios sean efectivos, utilice la operación DescribeCustomKeyStores.

En los ejemplos de esta sección, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

Empiece por usar DisconnectCustomKeyStore para desconectar el almacén de claves personalizado de su clúster de AWS CloudHSM. Reemplace el ID del almacén de claves personalizado de ejemplo, cks-1234567890abcdef0, por un ID real.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

En el primer ejemplo se usa UpdateCustomKeyStore para cambiar el nombre fácil de recordar del almacén de claves de AWS CloudHSM por DevelopmentKeys. El comando utiliza el parámetro CustomKeyStoreId para especificar el almacén de claves de AWS CloudHSM y CustomKeyStoreName para especificar el nuevo nombre del almacén de claves personalizado.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

El siguiente ejemplo cambia el clúster asociado con el almacén de claves de AWS CloudHSM por otra copia de seguridad del mismo clúster. El comando utiliza el parámetro CustomKeyStoreId para identificar el almacén de claves de AWS CloudHSM y el parámetro CloudHsmClusterId para especificar el nuevo ID del clúster.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

El siguiente ejemplo indica a AWS KMS que la contraseña actual de kmsuser es ExamplePassword. El comando utiliza el parámetro CustomKeyStoreId para identificar el almacén de claves de AWS CloudHSM y el parámetro KeyStorePassword para especificar la contraseña actual.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

El comando final vuelve a conectar el almacén de claves de AWS CloudHSM a su clúster de AWS CloudHSM. Puede dejar el almacén de claves personalizado desconectado, pero deberá conectarlo antes de crear claves KMS nuevas o para utilizar las claves KMS existentes para operaciones criptográficas. Reemplace el ID del almacén de claves personalizado de ejemplo por un ID real.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0