Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Putuskan sambungan toko AWS CloudHSM kunci
Saat Anda memutuskan sambungan penyimpanan AWS CloudHSM kunci, AWS KMS keluar dari AWS CloudHSM klien, terputus dari AWS CloudHSM cluster terkait, dan menghapus infrastruktur jaringan yang dibuatnya untuk mendukung koneksi.
Sementara toko AWS CloudHSM kunci terputus, Anda dapat mengelola toko AWS CloudHSM kunci dan kuncinyaKMS, tetapi Anda tidak dapat membuat atau menggunakan KMS kunci di toko AWS CloudHSM kunci. Status koneksi dari toko kunci adalah DISCONNECTED dan status kunci KMS kunci di toko kunci khusus adalahUnavailable, kecuali jika demikianPendingDeletion. Anda dapat menghubungkan kembali toko AWS CloudHSM kunci kapan saja.
catatan
AWS CloudHSM toko kunci memiliki status DISCONNECTED koneksi hanya ketika toko kunci tidak pernah terhubung atau Anda secara eksplisit memutuskannya. Jika status koneksi penyimpanan AWS CloudHSM kunci Anda CONNECTED tetapi Anda mengalami masalah dalam menggunakannya, pastikan AWS CloudHSM klaster terkaitnya aktif dan berisi setidaknya satu aktifHSMs. Untuk bantuan dengan kegagalan koneksi, lihat Memecahkan masalah penyimpanan kunci kustom.
Saat Anda memutuskan penyimpanan kunci khusus, kunci di toko KMS kunci menjadi tidak dapat digunakan segera (tergantung pada konsistensi akhirnya). Namun, sumber daya yang dienkripsi dengan kunci data yang dilindungi oleh KMS kunci tidak terpengaruh sampai KMS kunci digunakan lagi, seperti untuk mendekripsi kunci data. Masalah ini memengaruhi Layanan AWS, banyak di antaranya menggunakan kunci data untuk melindungi sumber daya Anda. Untuk detailnya, lihat Bagaimana kunci yang tidak dapat digunakan memengaruhi KMS kunci data.
catatan
Sementara toko kunci khusus terputus, semua upaya untuk membuat KMS kunci di toko kunci khusus atau menggunakan KMS kunci yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.
Untuk memperkirakan efek pemutusan penyimpanan kunci kustom Anda dengan lebih baik, identifikasi KMS kunci di toko kunci khusus dan tentukan penggunaannya di masa lalu.
Anda dapat memutuskan sambungan penyimpanan AWS CloudHSM kunci karena alasan seperti berikut:
-
Untuk memutar kata sandi
kmsuser. AWS KMS mengubah kata sandikmsusersetiap kali terhubung ke klaster AWS CloudHSM . Untuk memberlakukan rotasi kata sandi, cukup putuskan koneksi dan hubungkan kembali. -
Untuk mengaudit materi kunci untuk KMS kunci di AWS CloudHSM cluster. Saat Anda memutuskan penyimpanan kunci khusus, AWS KMS keluar dari akun pengguna kmsuser kripto di AWS CloudHSM klien. Ini memungkinkan Anda untuk masuk ke cluster sebagai
kmsuserCU dan mengaudit dan mengelola materi utama untuk KMS kunci. -
Untuk segera menonaktifkan semua KMS kunci di toko AWS CloudHSM kunci. Anda dapat menonaktifkan dan mengaktifkan kembali KMS AWS CloudHSM kunci di toko kunci dengan menggunakan AWS Management Console atau DisableKeyoperasi. Operasi ini selesai dengan cepat, tetapi mereka bertindak berdasarkan satu KMS kunci pada satu waktu. Memutuskan sambungan penyimpanan AWS CloudHSM kunci segera mengubah status kunci dari semua KMS kunci di toko AWS CloudHSM kunci
Unavailable, yang mencegahnya digunakan dalam operasi kriptografi apa pun. -
Untuk memperbaiki upaya koneksi yang gagal. Jika upaya untuk menghubungkan penyimpanan AWS CloudHSM kunci gagal (status koneksi penyimpanan kunci kustom
FAILED), Anda harus memutuskan sambungan penyimpanan AWS CloudHSM kunci sebelum Anda mencoba menghubungkannya lagi.
Putuskan sambungan toko AWS CloudHSM kunci Anda
Anda dapat memutuskan sambungan toko AWS CloudHSM kunci Anda di AWS KMS konsol atau dengan menggunakan DisconnectCustomKeyStoreoperasi.
Untuk memutuskan penyimpanan AWS CloudHSM kunci yang terhubung di AWS KMS konsol, mulailah dengan memilih toko AWS CloudHSM kunci dari halaman Toko Kunci Kustom.
-
Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Di panel navigasi, pilih Toko kunci khusus, toko AWS CloudHSM utama.
-
Pilih baris toko kunci eksternal yang ingin Anda putuskan.
-
Dari menu Key Store Actions, pilih Disconnect.
Ketika operasi selesai, status koneksi berubah dari Memutuskan sambungan ke Terputus. Jika operasi gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat Memecahkan masalah penyimpanan kunci kustom.
Untuk memutuskan sambungan AWS CloudHSM kunci yang terhubung, gunakan DisconnectCustomKeyStoreoperasi. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan JSON objek tanpa properti.
Contoh dalam bagian ini menggunakan AWS Command Line Interface
(AWS CLI)
Contoh ini memutus penyimpanan AWS CloudHSM kunci. Sebelum menjalankan contoh ini, ganti contoh ID dengan yang valid.
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
Untuk memverifikasi bahwa penyimpanan AWS CloudHSM kunci terputus, gunakan DescribeCustomKeyStoresoperasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Namun Anda dapat menggunakan parameter CustomKeyStoreId dan CustomKeyStoreName (tetapi tidak keduanya) untuk membatasi respons ke penyimpanan kunci kustom tertentu. ConnectionStateNilai DISCONNECTED menunjukkan bahwa penyimpanan AWS CloudHSM kunci contoh ini tidak terhubung ke AWS CloudHSM klasternya.
$aws kms describe-custom-key-stores --custom-key-store-idcks-1234567890abcdef0{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionState": "DISCONNECTED", "CreationDate": "1.499288695918E9", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CustomKeyStoreType": "AWS_CLOUDHSM", "TrustAnchorCertificate": "<certificate string appears here>" ], }
