Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengedit properti penyimpanan kunci eksternal
Anda dapat mengedit properti yang dipilih dari penyimpanan kunci eksternal yang ada.
Anda dapat mengedit beberapa properti saat penyimpanan kunci eksternal terhubung atau terputus. Untuk properti lain, Anda harus terlebih dahulu memutuskan penyimpanan kunci eksternal Anda dari proxy penyimpanan kunci eksternal. Status koneksi penyimpanan kunci eksternal harusDISCONNECTED. Sementara toko kunci eksternal Anda terputus, Anda dapat mengelola penyimpanan kunci dan kunci KMS-nya, tetapi Anda tidak dapat membuat atau menggunakan kunci KMS di toko kunci eksternal. Untuk menemukan status koneksi penyimpanan kunci eksternal Anda, gunakan DescribeCustomKeyStoresoperasi atau lihat bagian Konfigurasi umum pada halaman detail untuk penyimpanan kunci eksternal.
Sebelum memperbarui properti penyimpanan kunci eksternal Anda, AWS KMS kirimkan GetHealthStatuspermintaan ke proxy penyimpanan kunci eksternal menggunakan nilai baru. Jika permintaan berhasil, ini menunjukkan bahwa Anda dapat menghubungkan dan mengautentikasi ke proxy penyimpanan kunci eksternal dengan nilai properti yang diperbarui. Jika permintaan gagal, operasi edit gagal dengan pengecualian yang mengidentifikasi kesalahan.
Saat operasi edit selesai, nilai properti yang diperbarui untuk penyimpanan kunci eksternal Anda akan muncul di AWS KMS konsol dan DescribeCustomKeyStores respons. Namun, perlu waktu hingga lima menit agar perubahan sepenuhnya efektif.
Jika Anda mengedit penyimpanan kunci eksternal di AWS KMS konsol, Anda memiliki opsi untuk mengunggah file konfigurasi proxy berbasis JSON yang menentukan jalur URI proxydan kredensi otentikasi proxy. Beberapa proxy penyimpanan kunci eksternal menghasilkan file ini untuk Anda. Untuk detailnya, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau pengelola kunci eksternal.
Awas
Nilai properti yang diperbarui harus menghubungkan penyimpanan kunci eksternal Anda ke proxy untuk pengelola kunci eksternal yang sama dengan nilai sebelumnya, atau untuk cadangan atau snapshot dari pengelola kunci eksternal dengan kunci kriptografi yang sama. Jika penyimpanan kunci eksternal Anda secara permanen kehilangan aksesnya ke kunci eksternal yang terkait dengan kunci KMS-nya, ciphertext yang dienkripsi di bawah kunci eksternal tersebut tidak dapat dipulihkan. Secara khusus, mengubah konektivitas proxy dari penyimpanan kunci eksternal dapat AWS KMS mencegah mengakses kunci eksternal Anda.
Tip
Beberapa manajer kunci eksternal menyediakan metode yang lebih sederhana untuk mengedit properti penyimpanan kunci eksternal. Untuk detailnya, lihat dokumentasi pengelola kunci eksternal Anda.
Anda dapat mengubah properti berikut dari penyimpanan kunci eksternal.
| Properti penyimpanan kunci eksternal yang dapat diedit | Status koneksi apa pun | Memerlukan status Terputus |
|---|---|---|
| Nama penyimpanan kunci kustom Nama ramah yang diperlukan untuk toko kunci khusus. pentingJangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya. |
 |
|
| Kredensi otentikasi proxy () XksProxyAuthenticationCredential (Anda harus menentukan ID kunci akses dan kunci akses rahasia, bahkan jika Anda hanya mengubah satu elemen.) |
|
|
| Jalur URI proxy (XksProxyUriPath) | |
|
| Konektivitas proxy (XksProxyConnectivity) (Anda juga harus memperbarui titik akhir URI proxy. Jika Anda mengubah ke konektivitas layanan titik akhir VPC, Anda harus menentukan nama layanan titik akhir VPC proxy.) |
|
|
| Titik akhir URI proxy () XksProxyUriEndpoint Jika Anda mengubah URI titik akhir proxy, Anda mungkin juga perlu mengubah sertifikat TLS terkait. |
|
|
| Nama layanan titik akhir VPC proxy () XksProxyVpcEndpointServiceName (Bidang ini diperlukan untuk konektivitas layanan titik akhir VPC) |
|
Mengedit penyimpanan kunci eksternal (konsol)
Saat Anda mengedit penyimpanan kunci, Anda dapat mengubah salah satu atau nilai yang dapat diedit. Beberapa perubahan mengharuskan penyimpanan kunci eksternal terputus dari proxy penyimpanan kunci eksternal.
Jika Anda mengedit jalur URI proxy atau kredensi otentikasi proxy, Anda dapat memasukkan nilai baru atau mengunggah file konfigurasi proxy penyimpanan kunci eksternal yang menyertakan nilai baru.
-
Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
Di panel navigasi, pilih Toko kunci khusus, Toko kunci eksternal.
-
Pilih baris toko kunci eksternal yang ingin Anda edit.
-
Jika perlu, lepaskan penyimpanan kunci eksternal dari proxy penyimpanan kunci eksternal. Dari menu Key Store Actions, pilih Disconnect.
-
Dari menu Key store actions, pilih Edit.
-
Ubah satu atau beberapa properti penyimpanan kunci eksternal yang dapat diedit. Anda juga dapat mengunggah file konfigurasi proxy penyimpanan kunci eksternal dengan nilai untuk jalur URI proxy dan kredensil otentikasi proksi. Anda dapat menggunakan file konfigurasi proxy meskipun beberapa nilai yang ditentukan dalam file tidak berubah.
-
Pilih Perbarui toko kunci eksternal.
-
Tinjau peringatan, dan jika Anda memutuskan untuk melanjutkan, konfirmasikan peringatan, lalu pilih Perbarui toko kunci eksternal.
Ketika prosedur berhasil, pesan menjelaskan properti yang Anda edit. Ketika prosedur gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya.
-
Jika perlu, sambungkan kembali toko kunci eksternal. Dari menu Key Store Actions, pilih Connect.
Anda dapat membiarkan toko kunci eksternal terputus. Tetapi saat terputus, Anda tidak dapat membuat kunci KMS di penyimpanan kunci eksternal atau menggunakan kunci KMS di penyimpanan kunci eksternal dalam operasi kriptografi.
Mengedit penyimpanan kunci eksternal (API)
Untuk mengubah properti penyimpanan kunci eksternal, gunakan UpdateCustomKeyStoreoperasi. Anda dapat mengubah beberapa properti penyimpanan kunci eksternal dalam operasi yang sama. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan objek JSON tanpa properti.
Gunakan CustomKeyStoreId parameter untuk mengidentifikasi penyimpanan kunci eksternal. Gunakan parameter lain untuk mengubah properti. Anda tidak dapat menggunakan file konfigurasi proxy dengan UpdateCustomKeyStore operasi. File konfigurasi proxy hanya didukung oleh AWS KMS konsol. Namun, Anda dapat menggunakan file konfigurasi proxy untuk membantu Anda menentukan nilai parameter yang benar untuk proxy penyimpanan kunci eksternal Anda.
Contoh dalam bagian ini menggunakan AWS Command Line Interface (AWS CLI)
Sebelum Anda mulai, jika perlu, lepaskan penyimpanan kunci eksternal dari proxy penyimpanan kunci eksternal. Setelah memperbarui, jika perlu, Anda dapat menghubungkan kembali toko kunci eksternal ke proxy penyimpanan kunci eksternal. Anda dapat meninggalkan penyimpanan kunci eksternal dalam keadaan terputus, tetapi Anda harus menghubungkannya kembali sebelum Anda dapat membuat kunci KMS baru di toko kunci atau menggunakan kunci KMS yang ada di toko kunci untuk operasi kriptografi.
catatan
Jika Anda menggunakan AWS CLI versi 1.0, jalankan perintah berikut sebelum menentukan parameter dengan nilai HTTP atau HTTPS, seperti XksProxyUriEndpoint parameter.
aws configure set cli_follow_urlparam false
Jika tidak, AWS CLI versi 1.0 menggantikan nilai parameter dengan konten yang ditemukan di alamat URI tersebut, menyebabkan kesalahan berikut:
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve https:// : received non 200 status code of 404
Ubah nama toko kunci eksternal
Contoh pertama menggunakan UpdateCustomKeyStoreoperasi untuk mengubah nama ramah dari penyimpanan kunci eksternal menjadiXksKeyStore. Perintah menggunakan parameter CustomKeyStoreId untuk mengidentifikasi penyimpanan kunci kustom dan CustomKeyStoreName untuk menentukan nama baru untuk penyimpanan kunci kustom. Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0--new-custom-key-store-nameXksKeyStore
Mengubah kredensi otentikasi proxy
Contoh berikut memperbarui kredensi otentikasi proxy yang AWS KMS digunakan untuk mengautentikasi ke proxy penyimpanan kunci eksternal. Anda dapat menggunakan perintah seperti ini untuk memperbarui kredensi jika diputar pada proxy Anda.
Perbarui kredensi pada proxy penyimpanan kunci eksternal Anda terlebih dahulu. Kemudian gunakan fitur ini untuk melaporkan perubahan keAWS KMS. (Proxy Anda akan secara singkat mendukung kredensi lama dan baru sehingga Anda punya waktu untuk memperbarui kredensi Anda.) AWS KMS
Anda harus selalu menentukan ID kunci akses dan kunci akses rahasia di kredensi, meskipun hanya satu nilai yang diubah.
Dua perintah pertama mengatur variabel untuk menyimpan nilai kredensi. UpdateCustomKeyStoreOperasi menggunakan CustomKeyStoreId parameter untuk mengidentifikasi penyimpanan kunci eksternal. Ini menggunakan XksProxyAuthenticationCredential parameter dengan AccessKeyId dan RawSecretAccessKey bidangnya untuk menentukan kredensi baru. Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.
$accessKeyID=access key id$secretAccessKey=secret access key$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-authentication-credential \ AccessKeyId=$accessKeyId,RawSecretAccessKey=$secretAccessKey
Ubah jalur URI proxy
Contoh berikut memperbarui jalur URI proxy (XksProxyUriPath). Kombinasi titik akhir URI proxy dan jalur URI proxy harus unik di Akun AWS dan Wilayah. Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-uri-path/kms/xks/v1
Ubah ke konektivitas layanan titik akhir VPC
Contoh berikut menggunakan UpdateCustomKeyStoreoperasi untuk mengubah jenis konektivitas proxy penyimpanan kunci eksternal keVPC_ENDPOINT_SERVICE. Untuk membuat perubahan ini, Anda harus menentukan nilai yang diperlukan untuk konektivitas layanan titik akhir VPC, termasuk nama layanan titik akhir VPC (XksProxyVpcEndpointServiceName) dan nilai titik akhir URI proxy () yang menyertakan nama DNS pribadi untuk layanan titik akhir VPC. XksProxyUriEndpoint Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \ --xks-proxy-uri-endpointhttps://myproxy-private.xks.example.com\ --xks-proxy-vpc-endpoint-service-namecom.amazonaws.vpce.us-east-1.vpce-svc-example
Ubah ke konektivitas titik akhir publik
Contoh berikut mengubah jenis konektivitas proxy penyimpanan kunci eksternal menjadiPUBLIC_ENDPOINT. Ketika Anda membuat perubahan ini, Anda harus memperbarui nilai endpoint (XksProxyUriEndpoint) URI proxy. Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.
catatan
Konektivitas titik akhir VPC memberikan keamanan yang lebih besar daripada konektivitas titik akhir publik. Sebelum beralih ke konektivitas titik akhir publik, pertimbangkan opsi lain, termasuk menemukan proxy penyimpanan kunci eksternal Anda di tempat dan menggunakan VPC hanya untuk komunikasi.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-connectivity "PUBLIC_ENDPOINT" \ --xks-proxy-uri-endpoint https://myproxy.xks.example.com
