Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Edición de propiedades del almacén de claves externo
Puede editar las propiedades seleccionadas de un almacén de claves externo existente.
Puede editar algunas propiedades mientras el almacén de claves externo esté conectado o desconectado. Para otras propiedades, primero debe desconectar el almacén de claves externo de su proxy del almacén de claves externo. El estado de conexión del almacén de claves externo debe ser DISCONNECTED. Mientras su almacén de claves externo esté desconectado, puede administrar el almacén de claves y sus claves de KMS, pero no puede crear ni usar las claves de KMS en el almacén de claves externo. Para encontrar el estado de conexión del almacén de claves externo, utilice la DescribeCustomKeyStoresoperación o consulte la sección Configuración general en la página de detalles del almacén de claves externo.
Antes de actualizar las propiedades del almacén de claves externo, AWS KMS envía una GetHealthStatussolicitud al proxy del almacén de claves externo con los nuevos valores. Si la solicitud se realiza correctamente, indica que puede conectarse y autenticarse en un proxy del almacén de claves externo con los valores de propiedad actualizados. Si la solicitud falla, la operación de edición falla con una excepción que identifica el error.
Cuando finalice la operación de edición, los valores de propiedades actualizados del almacén de claves externo aparecerán en la consola de AWS KMS y en la respuesta DescribeCustomKeyStores. No obstante, pueden pasar hasta cinco minutos hasta que los cambios surtan efecto.
Si edita su almacén de claves externo en la consola de AWS KMS, tiene la opción de cargar un archivo de configuración del proxy basado en JSON que especifique la ruta URI del proxy y la credencial de autenticación del proxy. Algunos proxy del almacén de claves externos generan este archivo por usted. Para obtener más información, consulte la documentación del proxy del almacén de claves externo o el administrador de claves externo.
aviso
Los valores actualizados de las propiedades deben conectar el almacén de claves externo a un proxy para el mismo administrador de claves externo que los valores anteriores, o para obtener una copia de seguridad o una instantánea del administrador de claves externo con las mismas claves criptográficas. Si su almacén de claves externo pierde permanentemente el acceso a las claves externas asociadas a sus claves de KMS, el texto cifrado encriptado con esas claves externas no se podrá recuperar. En particular, cambiar la conectividad del proxy de un almacén de claves externo puede impedir que AWS KMS acceda a las claves externas.
sugerencia
Algunos administradores de claves externos proporcionan un método más sencillo para editar las propiedades de un almacén de claves externo. Para obtener más detalles, consulte la documentación del administrador de claves externo.
Puede cambiar las siguientes propiedades de un almacén de claves externo.
| Propiedades editables del almacén de claves externo | Cualquier estado de conexión | Requerir estado desconectado |
|---|---|---|
| Nombre del almacén de claves personalizadas Un nombre fácil de recordar obligatorio para el almacén de claves personalizado. importanteNo incluya información confidencial en este campo. Este campo puede mostrarse en texto plano en CloudTrail los registros y otros resultados. |
 |
|
| Credencial de autenticación proxy () XksProxyAuthenticationCredential (Debe especificar el ID de clave de acceso y la clave de acceso secreta, incluso si cambia solo un elemento). |
|
|
| Ruta de URI del proxy () XksProxyUriPath | |
|
| Conectividad proxy (XksProxyConnectivity) (También debe actualizar el punto de conexión de la URI del proxy. Si va a cambiar a la conectividad al servicio de punto de conexión de VPC, debe especificar un nombre de servicio de punto de conexión de VPC del proxy). |
|
|
| Punto final del URI del proxy (XksProxyUriEndpoint) Si cambia la URI del punto de conexión del proxy, es posible que también tenga que cambiar el certificado TLS asociado. |
|
|
| Nombre del servicio de punto final de VPC proxy () XksProxyVpcEndpointServiceName (Este campo es obligatorio para la conectividad al servicio de punto de conexión de VPC) |
|
Edición de un almacén de claves externo (consola)
Al editar un almacén de claves, puede cambiar cualquiera de los valores editables. Algunos cambios requieren que el almacén de claves externo esté desconectado de su proxy del almacén de claves externo.
Si está editando la ruta URI del proxy o la credencial de autenticación del proxy, puede introducir los nuevos valores o cargar un archivo de configuración del proxy del almacén de claves externo que incluya los nuevos valores.
-
Inicie sesión en la AWS Management Console y abra la consola de AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms
. -
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
En el panel de navegación, elija Custom key stores (Almacenes de claves personalizados), External key stores (Almacenes de claves externos).
-
Elija la fila del almacén de claves externo que quiere editar.
-
Si es necesario, desconecte el almacén de claves externo de su proxy del almacén de claves externo. En el menú Key store actions (Acciones del almacén de claves), seleccione Disconnect (Desconectar).
-
Desde el menú Key store actions (Acciones del almacén de claves), seleccione Edit (Editar).
-
Cambie una o más de las propiedades editables del almacén de claves externo. También puede cargar un archivo de configuración del proxy con valores para la ruta URI del proxy y la credencial de autenticación del proxy. Puede utilizar un archivo de configuración de proxy incluso si algunos valores especificados en el archivo no han cambiado.
-
Elija Update external key store (Actualizar el almacén de claves externo).
-
Revise la advertencia y, si decide continuar, confirme la advertencia y, a continuación, seleccione Update external key store (Actualizar almacén de claves externo).
Si el procedimiento se ejecuta correctamente, aparecerá un mensaje donde se describen las propiedades que ha editado. Si el procedimiento da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo.
-
Si es necesario, vuelva a conectar el almacén de claves externo. En el menú Key store actions (Acciones del almacén de claves), seleccione Connect (Conectar).
Puede dejar el almacén de claves externo desconectado. Pero mientras esté desconectado, no podrá crear las claves de KMS en el almacén de claves externo ni usar las claves de KMS del almacén de claves externo en operaciones criptográficas.
Edición de un almacén de claves externo (API)
Para cambiar las propiedades de un almacén de claves externo, utilice la UpdateCustomKeyStoreoperación. Puede cambiar varias propiedades de un almacén de claves externo en la misma operación. Si la operación se realiza correctamente, AWS KMS devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades.
Utilice el parámetro CustomKeyStoreId para identificar el almacén de claves externo. Utilice los demás parámetros para cambiar las propiedades. No puede usar un archivo de configuración del proxy con la operación UpdateCustomKeyStore. El archivo de configuración del proxy solo es compatible con la consola de AWS KMS. Sin embargo, puede utilizar el archivo de configuración del proxy como ayuda para determinar los valores de los parámetros correctos para el proxy del almacén de claves externo.
En los ejemplos de esta sección, se utiliza la AWS Command Line Interface (AWS CLI)
Antes de empezar, si es necesario, desconecte el almacén de claves externo de su proxy del almacén de claves externo. Tras la actualización, si es necesario, puede volver a conectar el almacén de claves externo a su proxy del almacén de claves externo. Puede dejar el almacén de claves externo en el estado desconectado, pero deberá volver a conectarlo antes de crear claves de KMS nuevas en el almacén de claves, o para utilizar las claves de KMS existentes en el almacén de claves para operaciones criptográficas.
nota
Si usa la versión 1.0 de la AWS CLI, ejecute el siguiente comando antes de especificar un parámetro con un valor HTTP o HTTPS, como el parámetro XksProxyUriEndpoint.
aws configure set cli_follow_urlparam false
De lo contrario, la versión 1.0 de la AWS CLI sustituye el valor del parámetro por el contenido que se encuentra en esa dirección URI, lo que provoca el siguiente error:
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve https:// : received non 200 status code of 404
Cambio del nombre del almacén de claves externo
El primer ejemplo utiliza la UpdateCustomKeyStoreoperación para cambiar el nombre descriptivo del almacén de claves externo aXksKeyStore. El comando utiliza el parámetro CustomKeyStoreId para especificar el almacén de claves personalizado y CustomKeyStoreName para especificar el nuevo nombre del almacén de claves personalizado. Sustituya todos los valores de ejemplo por valores reales para su almacén de claves externo.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0--new-custom-key-store-nameXksKeyStore
Cambio de la credencial de autenticación del proxy
En el siguiente ejemplo, se actualiza la credencial de autenticación del proxy que AWS KMS utiliza para autenticarse en el proxy del almacén de claves externo. Puede usar un comando como este para actualizar la credencial si está rotada en su proxy.
Primero actualice la credencial del proxy del almacén de claves externo. A continuación, utilice esta función para informar del cambio a AWS KMS. (Su proxy admitirá brevemente tanto la credencial anterior como la nueva para que tenga tiempo de actualizarla en AWS KMS).
Siempre debe especificar el ID de clave de acceso y la clave de acceso secreta en la credencial, incluso si solo se cambia un valor.
Los dos primeros comandos configuran variables para conservar los valores de las credenciales. Las operaciones UpdateCustomKeyStore utilizan el parámetro CustomKeyStoreId para identificar el almacén de claves externo. Utiliza el parámetro XksProxyAuthenticationCredential con sus campos AccessKeyId y RawSecretAccessKey para especificar la nueva credencial. Sustituya todos los valores de ejemplo por valores reales para su almacén de claves externo.
$accessKeyID=access key id$secretAccessKey=secret access key$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-authentication-credential \ AccessKeyId=$accessKeyId,RawSecretAccessKey=$secretAccessKey
Cambio de la ruta URI del proxy
El siguiente ejemplo actualiza la ruta URI del proxy (XksProxyUriPath). La combinación del punto de conexión de la URI del proxy y la ruta URI del proxy debe ser única en la región y la Cuenta de AWS. Sustituya todos los valores de ejemplo por valores reales para su almacén de claves externo.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-uri-path/kms/xks/v1
Cambio a la conectividad del servicio del punto de conexión de VPC
En el siguiente ejemplo, se utiliza la UpdateCustomKeyStoreoperación para cambiar el tipo de conectividad proxy del almacén de claves externo aVPC_ENDPOINT_SERVICE. Para realizar este cambio, debe especificar los valores necesarios para la conectividad del servicio de punto de conexión de VPC, incluido el nombre del servicio de punto de conexión de VPC (XksProxyVpcEndpointServiceName) y un valor de punto de conexión URI del proxy (XksProxyUriEndpoint) que incluya el nombre DNS privado del servicio de punto de conexión de VPC. Sustituya todos los valores de ejemplo por valores reales para su almacén de claves externo.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \ --xks-proxy-uri-endpointhttps://myproxy-private.xks.example.com\ --xks-proxy-vpc-endpoint-service-namecom.amazonaws.vpce.us-east-1.vpce-svc-example
Cambio a la conectividad de puntos de conexión públicos
En el siguiente ejemplo, se cambia el tipo de conectividad del proxy del almacén de claves externo a PUBLIC_ENDPOINT. Al realizar este cambio, debe actualizar el valor del punto de conexión URI (XksProxyUriEndpoint) del proxy. Sustituya todos los valores de ejemplo por valores reales para su almacén de claves externo.
nota
La conectividad al punto de conexión de VPC proporciona mayor seguridad que la conectividad al punto de conexión público. Antes de cambiar a la conectividad al punto de conexión público, considere otras opciones, como localizar el proxy del almacén de claves externo en las instalaciones y utilizar la VPC solo para la comunicación.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-connectivity "PUBLIC_ENDPOINT" \ --xks-proxy-uri-endpoint https://myproxy.xks.example.com
