Mengedit pengaturan toko AWS CloudHSM kunci - AWS Key Management Service
Mengedit toko AWS CloudHSM kunci (konsol)Mengedit toko AWS CloudHSM kunci (API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengedit pengaturan toko AWS CloudHSM kunci

Anda dapat mengubah pengaturan toko AWS CloudHSM kunci yang ada. Toko kunci khusus harus terputus AWS CloudHSM klasternya.

Untuk mengedit pengaturan penyimpanan AWS CloudHSM kunci:

  1. Putuskan koneksi penyimpanan kunci kustom dari klaster AWS CloudHSM-nya. Sementara toko kunci khusus terputus, Anda tidak dapat membuat AWS KMS keys(kunci KMS) di toko kunci khusus dan Anda tidak dapat menggunakan kunci KMS yang dikandungnya untuk operasi kriptografi.

  2. Edit satu atau beberapa pengaturan penyimpanan AWS CloudHSM utama.

  3. Sambungkan kembali penyimpanan kunci kustom ke klaster AWS CloudHSM-nya.

Anda dapat mengedit pengaturan berikut di penyimpanan kunci kustom:

Nama penyimpanan kunci kustom yang mudah diingat.

Masukkan nama baru yang mudah diingat. Nama baru harus unik di antara semua toko kunci khusus di AndaAkun AWS.

penting

Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.

ID klaster dari klaster AWS CloudHSM terkait.

Edit nilai ini untuk menggantikan klaster AWS CloudHSM yang terkait untuk yang asli. Anda dapat menggunakan fitur ini untuk memperbaiki penyimpanan kunci kustom jika klaster AWS CloudHSM-nya rusak atau dihapus.

Tentukan klaster AWS CloudHSM yang berbagi riwayat pencadangan dengan klaster asli dan memenuhi persyaratan untuk asosiasi dengan penyimpanan kunci kustom, termasuk dua HSM aktif di Availability Zone yang berbeda. Klaster yang berbagi riwayat pencadangan memiliki sertifikat klaster yang sama. Untuk melihat sertifikat cluster cluster, gunakan DescribeClustersoperasi. Anda tidak dapat menggunakan fitur edit untuk mengaitkan penyimpanan kunci kustom dengan klaster AWS CloudHSM yang tidak terkait.

Kata sandi saat ini dari pengguna kripto (CU) kmsuser.

Beri tahu kata sandi AWS KMS saat ini dari CU kmsuser di klaster AWS CloudHSM. Tindakan ini tidak mengubah kata sandi CU kmsuser di klaster AWS CloudHSM.

Jika Anda mengubah kata sandi CU kmsuser di klaster AWS CloudHSM, gunakan fitur ini untuk memberi tahu AWS KMS kata sandi kmsuser baru. Jika tidak, AWS KMS tidak dapat login ke klaster dan semua upaya untuk menghubungkan penyimpanan kunci kustom untuk klaster mengalami kegagalan.

Mengedit toko AWS CloudHSM kunci (konsol)

Saat Anda mengedit penyimpanan AWS CloudHSM kunci, Anda dapat mengubah salah satu atau nilai yang dapat dikonfigurasi.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Toko kunci khusus, toko AWS CloudHSM utama.

  4. Pilih baris toko AWS CloudHSM kunci yang ingin Anda edit.

    Jika nilai di kolom status Koneksi tidak Terputus, Anda harus memutuskan penyimpanan kunci khusus sebelum Anda dapat mengeditnya. (Dari menu Key store actions, pilih Disconnect.)

    Sementara toko AWS CloudHSM kunci terputus, Anda dapat mengelola toko AWS CloudHSM kunci dan kunci KMS-nya, tetapi Anda tidak dapat membuat atau menggunakan kunci KMS di toko kunci. AWS CloudHSM

  5. Dari menu Key store actions, pilih Edit.

  6. Lakukan satu atau beberapa tindakan berikut.

    • Ketikkan nama yang mudah diingat untuk penyimpanan kunci kustom.

    • Ketikkan ID klaster dari klaster AWS CloudHSM yang terkait.

    • Ketikkan kata sandi saat ini dari pengguna kripto kmsuser di klaster AWS CloudHSM yang terkait.

  7. Pilih Simpan.

    Ketika prosedur berhasil, suatu pesan akan menjelaskan pengaturan yang Anda diedit. Ketika prosedur gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat Memecahkan masalah penyimpanan kunci kustom.

  8. Hubungkan kembali penyimpanan kunci kustom.

    Untuk menggunakan toko AWS CloudHSM kunci, Anda harus menghubungkannya kembali setelah mengedit. Anda dapat membiarkan toko AWS CloudHSM kunci terputus. Tetapi saat terputus, Anda tidak dapat membuat kunci KMS di toko AWS CloudHSM kunci atau menggunakan kunci KMS di toko kunci dalam operasi AWS CloudHSM kriptografi.

Mengedit toko AWS CloudHSM kunci (API)

Untuk mengubah properti toko AWS CloudHSM kunci, gunakan UpdateCustomKeyStoreoperasi. Anda dapat mengubah beberapa properti dari penyimpanan kunci kustom dalam perintah yang sama. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan objek JSON tanpa properti. Untuk memverifikasi bahwa perubahannya efektif, gunakan DescribeCustomKeyStoresoperasi.

Contoh dalam bagian ini menggunakan AWS Command Line Interface (AWS CLI), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Mulailah dengan menggunakan DisconnectCustomKeyStoreuntuk memutuskan penyimpanan kunci kustom dari AWS CloudHSM klasternya. Ganti contoh ID penyimpanan kunci kustom, cks-1234567890abcdef0, dengan ID yang sebenarnya.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Contoh pertama digunakan UpdateCustomKeyStoreuntuk mengubah nama ramah dari toko AWS CloudHSM kunci menjadiDevelopmentKeys. Perintah menggunakan CustomKeyStoreId parameter untuk mengidentifikasi penyimpanan AWS CloudHSM kunci dan CustomKeyStoreName untuk menentukan nama baru untuk toko kunci kustom.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

Contoh berikut mengubah cluster yang terkait dengan penyimpanan AWS CloudHSM kunci ke cadangan lain dari cluster yang sama. Perintah menggunakan CustomKeyStoreId parameter untuk mengidentifikasi penyimpanan AWS CloudHSM kunci dan CloudHsmClusterId parameter untuk menentukan ID cluster baru. 

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

Contoh berikut memberi tahu AWS KMS bahwa kata sandi kmsuser saat ini adalah ExamplePassword. Perintah menggunakan CustomKeyStoreId parameter untuk mengidentifikasi penyimpanan AWS CloudHSM kunci dan KeyStorePassword parameter untuk menentukan kata sandi saat ini.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

Perintah terakhir menghubungkan kembali penyimpanan AWS CloudHSM kunci ke AWS CloudHSM klasternya. Anda dapat meninggalkan penyimpanan kunci khusus dalam keadaan terputus, tetapi Anda harus menghubungkannya sebelum Anda dapat membuat kunci KMS baru atau menggunakan kunci KMS yang ada untuk operasi kriptografi. Ganti contoh ID penyimpanan kunci kustom dengan ID yang sebenarnya.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0