Modifier les paramètres du magasin AWS CloudHSM clé - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Modifier les paramètres du magasin AWS CloudHSM clé

Vous pouvez modifier les paramètres d'un magasin de AWS CloudHSM clés existant. Le magasin de clés personnalisé doit être déconnecté de son AWS CloudHSM cluster.

Pour modifier les paramètres du magasin de AWS CloudHSM clés, procédez comme suit :

  1. Déconnectez le magasin de clés personnalisé de son cluster AWS CloudHSM .

    Lorsque le magasin de clés personnalisé est déconnecté, vous ne pouvez pas créer AWS KMS keys (de KMS clés) dans le magasin de clés personnalisé et vous ne pouvez pas utiliser les KMS clés qu'il contient pour des opérations cryptographiques.

  2. Modifiez un ou plusieurs des AWS CloudHSM principaux paramètres du magasin.

    Vous pouvez modifier les paramètres suivants d'un magasin de clés personnalisé :

    Le nom convivial du magasin de clés personnalisé.

    Entrez un nouveau nom convivial. Le nouveau nom doit être unique parmi tous les magasins de clés personnalisés de votre Compte AWS.

    Important

    N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.

    L'ID de cluster du AWS CloudHSM cluster associé.

    Modifiez cette valeur pour remplacer le AWS CloudHSM cluster d'origine par un cluster associé. Vous pouvez utiliser cette fonctionnalité pour réparer un magasin de clés personnalisé si son AWS CloudHSM cluster est endommagé ou supprimé.

    Spécifiez un AWS CloudHSM cluster qui partage un historique de sauvegarde avec le cluster d'origine et qui répond aux exigences d'association avec un magasin de clés personnalisé, dont deux actifs HSMs dans des zones de disponibilité différentes. Les clusters qui partagent un historique des sauvegardes historique ont le même certificat de cluster. Pour afficher le certificat de cluster d'un cluster, utilisez l'DescribeClustersopération. Vous ne pouvez pas utiliser la fonctionnalité de modification pour associer le magasin de clés personnalisé à un cluster AWS CloudHSM sans relation.

    Mot de passe actuel de l'kmsuser utilisateur de chiffrement (CU).

    AWS KMS Indique le mot de passe actuel du kmsuser CU du AWS CloudHSM cluster. Cette action ne modifie pas le mot de passe du kmsuser CU dans le AWS CloudHSM cluster.

    Si vous modifiez le mot de passe de la kmsuser CU dans le AWS CloudHSM cluster, utilisez cette fonctionnalité pour indiquer AWS KMS le nouveau kmsuser mot de passe. Dans le cas contraire, AWS KMS peut pas se connecter au cluster et toutes les tentatives pour connecter le magasin de clés personnalisé au cluster échouent.

  3. Reconnectez le magasin de clés personnalisé à son cluster AWS CloudHSM .

Modifiez les paramètres de votre magasin de clés

Vous pouvez modifier les paramètres de votre magasin de AWS CloudHSM clés dans la AWS KMS console ou en utilisant l'UpdateCustomKeyStoreopération.

Lorsque vous modifiez un magasin de AWS CloudHSM clés, vous pouvez modifier n'importe laquelle des valeurs configurables.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), AWS CloudHSM key stores (Magasins de clés).

  4. Choisissez la ligne du magasin de AWS CloudHSM clés que vous souhaitez modifier.

    Si la valeur de la colonne Status n'est pas Disconnected, vous devez déconnecter le magasin de clés personnalisé avant de pouvoir le modifier. (Dans le menu Key store actions (Actions de magasin de clés), choisissez Disconnect [Déconnecter].)

    Lorsqu'un magasin de AWS CloudHSM clés est déconnecté, vous pouvez gérer le magasin de AWS CloudHSM clés et ses KMS clés, mais vous ne pouvez pas créer ou utiliser de KMS clés dans le magasin de AWS CloudHSM clés.

  5. À partir du menu Key store actions (Actions de magasin de clés), choisissez Edit (Modifier).

  6. Effectuez une ou plusieurs des actions suivantes :

    • Entrez un nouveau nom convivial pour le magasin de clés personnalisé.

    • Entrez l'ID de cluster d'un AWS CloudHSM cluster associé.

    • Entrez le mot de passe actuel de l'utilisateur kmsuser crypté dans le AWS CloudHSM cluster associé.

  7. Choisissez Save (Enregistrer).

    Quand la procédure est réussie, un message décrit les paramètres que vous avez modifiés. Si elle ne réussit pas, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez Dépannage d'un magasin de clés personnalisé.

  8. Reconnectez le magasin de clés personnalisé.

    Pour utiliser le magasin de AWS CloudHSM clés, vous devez le reconnecter après l'avoir modifié. Vous pouvez laisser le magasin de clés AWS CloudHSM déconnecté. Mais tant qu'il est déconnecté, vous ne pouvez pas créer de KMS clés dans le magasin de AWS CloudHSM clés ni utiliser les KMS clés du magasin de clés dans le AWS CloudHSM cadre d'opérations cryptographiques.

Pour modifier les propriétés d'un magasin de AWS CloudHSM clés, utilisez l'UpdateCustomKeyStoreopération. Vous pouvez modifier plusieurs propriétés d'un magasin de clés personnalisé dans la même commande. Si l'opération est réussie, AWS KMS renvoie une réponse HTTP 200 et un JSON objet sans propriétés. Pour vérifier que les modifications sont effectives, utilisez l'DescribeCustomKeyStoresopération.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Commencez par utiliser DisconnectCustomKeyStorepour déconnecter le magasin de clés personnalisé de son AWS CloudHSM cluster. Remplacez l'exemple d'ID de magasin de clés personnalisé, cks-1234567890abcdef0, par un ID réel.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Le premier exemple utilise UpdateCustomKeyStorepour remplacer le nom convivial du magasin de AWS CloudHSM clés parDevelopmentKeys. La commande utilise le CustomKeyStoreId paramètre pour identifier le magasin de AWS CloudHSM clés et CustomKeyStoreName pour spécifier le nouveau nom du magasin de clés personnalisé.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

L'exemple suivant remplace le cluster associé à une banque de AWS CloudHSM clés par une autre sauvegarde du même cluster. La commande utilise le CustomKeyStoreId paramètre pour identifier le magasin de AWS CloudHSM clés et le CloudHsmClusterId paramètre pour spécifier le nouvel ID de cluster.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

L'exemple suivant indique AWS KMS que le mot de kmsuser passe actuel estExamplePassword. La commande utilise le CustomKeyStoreId paramètre pour identifier le magasin de AWS CloudHSM clés et le KeyStorePassword paramètre pour spécifier le mot de passe actuel.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

La commande finale reconnecte le magasin de AWS CloudHSM clés à son AWS CloudHSM cluster. Vous pouvez laisser le magasin de clés personnalisé à l'état déconnecté, mais vous devez le connecter avant de créer de nouvelles KMS clés ou d'utiliser des KMS clés existantes pour des opérations cryptographiques. Remplacez l'exemple d'ID de magasin de clés personnalisé par un ID réel.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0