Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Edit properti penyimpanan kunci eksternal
Anda dapat mengedit properti yang dipilih dari penyimpanan kunci eksternal yang ada.
Anda dapat mengedit beberapa properti saat penyimpanan kunci eksternal terhubung atau terputus. Untuk properti lain, Anda harus terlebih dahulu [memutuskan penyimpanan kunci eksternal Anda](xks-connect-disconnect.md) dari proxy penyimpanan kunci eksternal. [Status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal harus`DISCONNECTED`. Sementara toko kunci eksternal Anda terputus, Anda dapat mengelola penyimpanan kunci dan kunci KMS-nya, tetapi Anda tidak dapat membuat atau menggunakan kunci KMS di toko kunci eksternal. Untuk menemukan [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal Anda, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi atau lihat bagian **Konfigurasi umum** pada halaman detail untuk penyimpanan kunci eksternal.
Sebelum memperbarui properti penyimpanan kunci eksternal Anda, AWS KMS kirimkan [GetHealthStatus](keystore-external.md#concept-proxy-apis)permintaan ke proxy penyimpanan kunci eksternal menggunakan nilai baru. Jika permintaan berhasil, ini menunjukkan bahwa Anda dapat menghubungkan dan mengautentikasi ke proxy penyimpanan kunci eksternal dengan nilai properti yang diperbarui. Jika permintaan gagal, operasi edit gagal dengan pengecualian yang mengidentifikasi kesalahan.
Saat operasi edit selesai, nilai properti yang diperbarui untuk penyimpanan kunci eksternal Anda akan muncul di AWS KMS konsol dan `DescribeCustomKeyStores` respons. Namun, perlu waktu hingga lima menit agar perubahan sepenuhnya efektif.
[Jika Anda mengedit penyimpanan kunci eksternal di AWS KMS konsol, Anda memiliki opsi untuk mengunggah [file konfigurasi proxy berbasis JSON yang menentukan jalur URI proxy](create-xks-keystore.md#proxy-configuration-file)[dan kredensi otentikasi proxy](create-xks-keystore.md#require-path).](keystore-external.md#concept-xks-credential) Beberapa proxy penyimpanan kunci eksternal menghasilkan file ini untuk Anda. Untuk detailnya, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau pengelola kunci eksternal.
**Awas**
Nilai properti yang diperbarui harus menghubungkan penyimpanan kunci eksternal Anda ke proxy untuk pengelola kunci eksternal yang sama dengan nilai sebelumnya, atau untuk cadangan atau snapshot dari pengelola kunci eksternal dengan kunci kriptografi yang sama. Jika penyimpanan kunci eksternal Anda secara permanen kehilangan aksesnya ke kunci eksternal yang terkait dengan kunci KMS-nya, ciphertext yang dienkripsi di bawah kunci eksternal tersebut tidak dapat dipulihkan. Secara khusus, mengubah konektivitas proxy dari penyimpanan kunci eksternal dapat AWS KMS mencegah mengakses kunci eksternal Anda.
**Tip**
Beberapa manajer kunci eksternal menyediakan metode yang lebih sederhana untuk mengedit properti penyimpanan kunci eksternal. Untuk detailnya, lihat dokumentasi pengelola kunci eksternal Anda.
Anda dapat mengubah properti berikut dari penyimpanan kunci eksternal.
| Properti penyimpanan kunci eksternal yang dapat diedit | Status koneksi apa pun | Memerlukan status Terputus |
| --- | --- | --- |
| Nama penyimpanan kunci kustom Nama ramah yang diperlukan untuk toko kunci khusus. Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya. |  | |
| [Kredensi otentikasi proxy](keystore-external.md#concept-xks-credential) () XksProxyAuthenticationCredential(Anda harus menentukan ID kunci akses dan kunci akses rahasia, bahkan jika Anda hanya mengubah satu elemen.) |  | |
| [Jalur URI proxy](create-xks-keystore.md#require-path) (XksProxyUriPath) |  | |
| [Konektivitas proxy](keystore-external.md#concept-xks-connectivity) (XksProxyConnectivity)(Anda juga harus memperbarui titik akhir URI proxy. Jika Anda mengubah ke konektivitas layanan titik akhir VPC, Anda harus menentukan nama layanan titik akhir VPC proxy.) | |  |
| [Titik akhir URI proxy](create-xks-keystore.md#require-endpoint) () XksProxyUriEndpointJika Anda mengubah URI titik akhir proxy, Anda mungkin juga perlu mengubah sertifikat TLS terkait. | |  |
| Nama [layanan titik akhir VPC proxy](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceName(Bidang ini diperlukan untuk konektivitas layanan titik akhir VPC) | |  |
| Pemilik [layanan titik akhir VPC](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceOwner(Bidang ini diperlukan untuk konektivitas layanan titik akhir VPC) | |  |
## Edit properti toko kunci eksternal Anda
Anda dapat mengedit properti penyimpanan kunci eksternal Anda di AWS KMS konsol atau dengan menggunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi.
### Menggunakan AWS KMS konsol
Saat Anda mengedit penyimpanan kunci, Anda dapat mengubah salah satu nilai yang dapat diedit. Beberapa perubahan mengharuskan penyimpanan kunci eksternal terputus dari proxy penyimpanan kunci eksternal.
Jika Anda mengedit jalur URI proxy atau kredensi otentikasi proxy, Anda dapat memasukkan nilai baru atau mengunggah [file konfigurasi proxy](create-xks-keystore.md#proxy-configuration-file) penyimpanan kunci eksternal yang menyertakan nilai baru.
1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
1. Di panel navigasi, pilih **Toko kunci khusus, Toko** **kunci eksternal**.
1. Pilih toko kunci yang ingin Anda edit.
1. Jika perlu, lepaskan penyimpanan kunci eksternal dari proxy penyimpanan kunci eksternal. Dari menu **Key Store Actions**, pilih **Disconnect**.
1. Dari menu **Key store actions**, pilih **Edit**.
1. Ubah satu atau beberapa properti penyimpanan kunci eksternal yang dapat diedit. Anda juga dapat mengunggah [file konfigurasi proxy](create-xks-keystore.md#proxy-configuration-file) penyimpanan kunci eksternal dengan nilai untuk jalur URI proxy dan kredensyal otentikasi proksi. Anda dapat menggunakan file konfigurasi proxy meskipun beberapa nilai yang ditentukan dalam file tidak berubah.
1. Pilih **Perbarui toko kunci eksternal**.
1. Tinjau peringatan, dan jika Anda memutuskan untuk melanjutkan, konfirmasikan peringatan, lalu pilih **Perbarui toko kunci eksternal**.
Ketika prosedur berhasil, pesan menjelaskan properti yang Anda edit. Ketika prosedur gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya.
1. Jika perlu, sambungkan kembali toko kunci eksternal. Dari menu **Key Store Actions**, pilih **Connect**.
Anda dapat membiarkan toko kunci eksternal terputus. [Tetapi saat terputus, Anda tidak dapat membuat kunci KMS di penyimpanan kunci eksternal atau menggunakan kunci KMS di penyimpanan kunci eksternal dalam operasi kriptografi.](manage-cmk-keystore.md#use-cmk-keystore)
### Menggunakan AWS KMS API
Untuk mengubah properti penyimpanan kunci eksternal, gunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi. Anda dapat mengubah beberapa properti penyimpanan kunci eksternal dalam operasi yang sama. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan objek JSON tanpa properti.
Gunakan `CustomKeyStoreId` parameter untuk mengidentifikasi penyimpanan kunci eksternal. Gunakan parameter lain untuk mengubah properti. Anda tidak dapat menggunakan [file konfigurasi proxy](create-xks-keystore.md#proxy-configuration-file) dengan `UpdateCustomKeyStore` operasi. File konfigurasi proxy hanya didukung oleh AWS KMS konsol. Namun, Anda dapat menggunakan file konfigurasi proxy untuk membantu Anda menentukan nilai parameter yang benar untuk proxy penyimpanan kunci eksternal Anda.
Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.
Sebelum Anda mulai, [jika perlu](#update-xks-keystore), [lepaskan penyimpanan kunci eksternal](xks-connect-disconnect.md) dari proxy penyimpanan kunci eksternal. Setelah memperbarui, jika perlu, Anda dapat [menghubungkan kembali toko kunci eksternal](xks-connect-disconnect.md) ke proxy penyimpanan kunci eksternal. Anda dapat meninggalkan penyimpanan kunci eksternal dalam keadaan terputus, tetapi Anda harus menghubungkannya kembali sebelum Anda dapat membuat kunci KMS baru di toko kunci atau menggunakan kunci KMS yang ada di toko kunci untuk operasi kriptografi.
**catatan**
Jika Anda menggunakan AWS CLI versi 1.0, jalankan perintah berikut sebelum menentukan parameter dengan nilai HTTP atau HTTPS, seperti `XksProxyUriEndpoint` parameter.
```
aws configure set cli_follow_urlparam false
```
Jika tidak, AWS CLI versi 1.0 menggantikan nilai parameter dengan konten yang ditemukan di alamat URI tersebut, menyebabkan kesalahan berikut:
```
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve
https:// : received non 200 status code of 404
```
#### Ubah nama toko kunci eksternal
Contoh pertama menggunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi untuk mengubah nama ramah dari penyimpanan kunci eksternal menjadi`XksKeyStore`. Perintah menggunakan parameter `CustomKeyStoreId` untuk mengidentifikasi penyimpanan kunci kustom dan `CustomKeyStoreName` untuk menentukan nama baru untuk penyimpanan kunci kustom. Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.
```
$ aws kms update-custom-key-store --custom-key-store-id {{cks-1234567890abcdef0}} --new-custom-key-store-name {{XksKeyStore}}
```
#### Mengubah kredensi otentikasi proxy
Contoh berikut memperbarui kredensi otentikasi proxy yang AWS KMS digunakan untuk mengautentikasi ke proxy penyimpanan kunci eksternal. Anda dapat menggunakan perintah seperti ini untuk memperbarui kredensi jika diputar pada proxy Anda.
Perbarui kredensi pada proxy penyimpanan kunci eksternal Anda terlebih dahulu. Kemudian gunakan fitur ini untuk melaporkan perubahan ke AWS KMS. (Proxy Anda akan secara singkat mendukung kredensi lama dan baru sehingga Anda punya waktu untuk memperbarui kredensi Anda.) AWS KMS
Anda harus selalu menentukan ID kunci akses dan kunci akses rahasia di kredensi, meskipun hanya satu nilai yang diubah.
Dua perintah pertama mengatur variabel untuk menyimpan nilai kredensi. `UpdateCustomKeyStore`Operasi menggunakan `CustomKeyStoreId` parameter untuk mengidentifikasi penyimpanan kunci eksternal. Ini menggunakan `XksProxyAuthenticationCredential` parameter dengan `AccessKeyId` dan `RawSecretAccessKey` bidangnya untuk menentukan kredensi baru. Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.
```
$ accessKeyID={{access key id}}
$ secretAccessKey={{secret access key}}
$ aws kms update-custom-key-store --custom-key-store-id {{cks-1234567890abcdef0}} \
--xks-proxy-authentication-credential \
AccessKeyId={{$accessKeyId}},RawSecretAccessKey={{$secretAccessKey}}
```
#### Ubah jalur URI proxy
Contoh berikut memperbarui jalur URI proxy (`XksProxyUriPath`). Kombinasi titik akhir URI proxy dan jalur URI proxy harus unik di Akun AWS dan Wilayah. Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.
```
$ aws kms update-custom-key-store --custom-key-store-id {{cks-1234567890abcdef0}} \
--xks-proxy-uri-path {{/kms/xks/v1}}
```
#### Ubah ke konektivitas layanan titik akhir VPC
Contoh berikut menggunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi untuk mengubah jenis konektivitas proxy penyimpanan kunci eksternal ke`VPC_ENDPOINT_SERVICE`. Untuk membuat perubahan ini, Anda harus menentukan nilai yang diperlukan untuk konektivitas layanan titik akhir VPC, termasuk nama layanan titik akhir VPC (`XksProxyVpcEndpointServiceName`) dan nilai titik akhir URI proxy () yang menyertakan nama DNS pribadi untuk layanan titik akhir VPC. `XksProxyUriEndpoint` Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.
```
$ aws kms update-custom-key-store --custom-key-store-id {{cks-1234567890abcdef0}} \
--xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \
--xks-proxy-uri-endpoint {{https://myproxy-private.xks.example.com}} \
--xks-proxy-vpc-endpoint-service-name {{com.amazonaws.vpce.us-east-1.vpce-svc-example}}
```
#### Ubah ke konektivitas titik akhir publik
Contoh berikut mengubah jenis konektivitas proxy penyimpanan kunci eksternal menjadi`PUBLIC_ENDPOINT`. Ketika Anda membuat perubahan ini, Anda harus memperbarui nilai endpoint (`XksProxyUriEndpoint`) URI proxy. Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.
**catatan**
Konektivitas titik akhir VPC memberikan keamanan yang lebih besar daripada konektivitas titik akhir publik. Sebelum beralih ke konektivitas titik akhir publik, pertimbangkan opsi lain, termasuk menemukan proxy penyimpanan kunci eksternal Anda di tempat dan menggunakan VPC hanya untuk komunikasi.
```
$ aws kms update-custom-key-store --custom-key-store-id {{cks-1234567890abcdef0}} \
--xks-proxy-connectivity "PUBLIC_ENDPOINT" \
--xks-proxy-uri-endpoint https://myproxy.xks.example.com
```