Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Modifica delle proprietà dell'archivio delle chiavi esterne
Puoi modificare le proprietà selezionate di un archivio delle chiavi esterne esistente.
Quando l'archivio delle chiavi esterne è connesso o disconnesso, puoi modificare solo alcune proprietà. Per modificare le altre proprietà, disconnetti l'archivio delle chiavi esterne dal relativo proxy. Lo stato di connessione dell'archivio delle chiavi esterne deve essere DISCONNECTED. Quando un archivio delle chiavi esterne è disconnesso, puoi gestire l'archivio e le relative chiavi KMS, ma non puoi creare o utilizzare le chiavi KMS nell'archivio delle chiavi esterne. Per trovare lo stato di connessione del tuo archivio chiavi esterno, usa l'DescribeCustomKeyStoresoperazione o consulta la sezione Configurazione generale nella pagina dei dettagli dell'archivio chiavi esterno.
Prima di aggiornare le proprietà dell'archivio di chiavi esterno, AWS KMS invia una GetHealthStatusrichiesta al proxy dell'archivio chiavi esterno utilizzando i nuovi valori. Se la richiesta ha esito positivo, indica che è possibile connettersi e autenticarsi a un proxy dell'archivio delle chiavi esterne con i valori delle proprietà aggiornati. Se la richiesta non riesce, l'operazione di modifica ha esito negativo con un'eccezione che identifica l'errore.
Al termine dell'operazione di modifica, i valori aggiornati delle proprietà per l'archivio delle chiavi esterne vengono visualizzati nella console AWS KMS e nella risposta DescribeCustomKeyStores. Tuttavia, possono essere necessari fino a cinque minuti affinché le modifiche diventino effettive.
Se modifichi l'archivio delle chiavi esterne nella console AWS KMS, hai la possibilità di caricare un file di configurazione proxy basato su JSON che specifica il percorso URI proxy e le credenziali di autenticazione proxy. Alcuni proxy dell'archivio delle chiavi esterne generano automaticamente questo file. Per maggiori dettagli, consulta la documentazione relativa al proxy dell'archivio delle chiavi esterne o al gestore delle chiavi esterne.
avvertimento
I valori delle proprietà aggiornati devono connettere l'archivio delle chiavi esterne a un proxy per lo stesso gestore delle chiavi esterne dei valori precedenti o per un backup o uno snapshot del gestore con le stesse chiavi crittografiche. Se l'archivio delle chiavi esterne perde definitivamente l'accesso alle chiavi esterne associate alle relative chiavi KMS, il testo criptato crittografato con tali chiavi esterne è irrecuperabile. In particolare, la modifica della connettività proxy di un archivio delle chiavi esterne può impedire ad AWS KMS di accedere alle chiavi esterne.
Suggerimento
Alcuni gestori delle chiavi esterne offrono un metodo più semplice per modificare le proprietà dell'archivio delle chiavi esterne. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.
Puoi modificare le seguenti proprietà di un archivio delle chiavi esterne.
| Proprietà modificabili dell'archivio delle chiavi esterne | Qualsiasi stato di connessione | Richiede lo stato Disconnesso |
|---|---|---|
| Il nome dello store delle chiavi personalizzate Un nome descrittivo per l'archivio delle chiavi personalizzate. ImportanteNon includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei CloudTrail log e in altri output. |
 |
|
| Credenziali di autenticazione proxy () XksProxyAuthenticationCredential Devi specificare sia l'ID chiave di accesso che la chiave di accesso segreta, anche se modifichi un solo elemento. |
|
|
| Percorso URI del proxy () XksProxyUriPath | |
|
| Connettività proxy (XksProxyConnectivity) Devi inoltre aggiornare l'endpoint URI proxy. Se stai passando alla connettività del servizio endpoint VPC, devi specificare un nome del servizio endpoint VPC del proxy. |
|
|
| Endpoint URI proxy () XksProxyUriEndpoint Se modifichi l'URI endpoint proxy, potrebbe anche essere necessario modificare il certificato TLS associato. |
|
|
| Nome del servizio endpoint VPC proxy () XksProxyVpcEndpointServiceName Questo campo è obbligatorio per la connettività del servizio endpoint VPC |
|
Argomenti
Modifica di un archivio delle chiavi esterne (console)
Quando modifichi un archivio delle chiavi esterne, puoi modificare qualsiasi valore configurabile. Alcune modifiche richiedono la disconnessione dell'archivio delle chiavi esterne dal relativo proxy.
Se stai modificando il percorso URI proxy o le credenziali di autenticazione proxy, puoi inserire i nuovi valori o caricare un file di configurazione proxy dell'archivio delle chiavi esterne che includa i nuovi valori.
-
Accedi alla AWS Management Console e apri la console AWS Key Management Service (AWS KMS) all'indirizzo https://console.aws.amazon.com/kms
. -
Per modificare la Regione AWS, utilizza il Selettore di regione nell'angolo in alto a destra della pagina.
Nel pannello di navigazione, scegli Custom key stores (Archivi delle chiavi personalizzate), External key stores (Archivi delle chiavi esterne).
-
Scegli la riga relativa all'archivio delle chiavi esterne che vuoi modificare.
-
Se necessario, disconnetti l'archivio delle chiavi esterne dal relativo proxy. Dal menu Key store actions (Operazioni per l'archivio delle chiavi), scegli Disconnect (Disconnetti).
-
Dal menu Key store actions (Operazioni per l'archivio delle chiavi), scegli Edit (Modifica).
-
Modifica una o più proprietà configurabili dell'archivio delle chiavi esterne. Puoi inoltre caricare un file di configurazione proxy dell'archivio delle chiavi esterne con i valori per il percorso URI proxy e le credenziali di autenticazione proxy. Puoi utilizzare tale file di configurazione proxy anche se alcuni valori specificati nel file non sono stati modificati.
-
Scegli Update external key store (Aggiornamento dell'archivio delle chiavi esterne).
-
Esamina l'avviso e, se decidi di continuare, confermalo, quindi scegli Update external key store (Aggiornamento dell'archivio delle chiavi esterne).
Se la procedura ha esito positivo, un messaggio descrive le proprietà modificate. Se ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo.
-
Se necessario, connetti nuovamente l'archivio delle chiavi esterne. Dal menu Key store actions (Operazioni per l'archivio delle chiavi), scegli Connect (Connetti).
Puoi lasciarlo disconnesso, ma in questo stato, non puoi creare o utilizzare le chiavi KMS nell'archivio delle chiavi esterne per operazioni di crittografia.
Modifica di un archivio delle chiavi esterne (API)
Per modificare le proprietà di un archivio di chiavi esterno, utilizzare l'UpdateCustomKeyStoreoperazione. Puoi modificare più proprietà di un archivio delle chiavi esterne con la stessa operazione. Se l'operazione ha esito positivo, AWS KMS restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà.
Utilizza il parametro CustomKeyStoreId per identificare l'archivio delle chiavi esterne. Utilizza gli altri parametri per modificare le proprietà. Non puoi utilizzare un file di configurazione proxy con l'operazione UpdateCustomKeyStore, poiché tale file è supportato solo dalla console AWS KMS. Tuttavia, puoi utilizzare il file di configurazione proxy per determinare i valori dei parametri corretti per il proxy dell'archivio delle chiavi esterne.
Gli esempi in questa sezione utilizzano AWS Command Line Interface (AWS CLI)
Prima di iniziare, se necessario, disconnetti l'archivio delle chiavi esterne dal relativo proxy. Dopo l'aggiornamento, se necessario, connetti nuovamente l'archivio al proxy dell'archivio delle chiavi esterne. Puoi lasciare l'archivio delle chiavi esterne disconnesso, ma devi connetterlo per poter creare nuove chiavi KMS o utilizzare le chiavi KMS esistenti nell'archivio delle chiavi per operazioni di crittografia.
Nota
Se utilizzi AWS CLI versione 1.0, esegui il comando seguente prima di specificare un parametro con un valore HTTP o HTTPS, ad esempio il parametro XksProxyUriEndpoint.
aws configure set cli_follow_urlparam false
In caso contrario, AWS CLI versione 1.0 sostituisce il valore del parametro con il contenuto trovato in tale indirizzo URI, causando il seguente errore:
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve https:// : received non 200 status code of 404
Modifica del nome dell'archivio delle chiavi esterne
Il primo esempio utilizza l'UpdateCustomKeyStoreoperazione per modificare il nome descrittivo dell'archivio chiavi esterno inXksKeyStore. Il comando utilizza il parametro CustomKeyStoreId per identificare lo store delle chiavi personalizzate e CustomKeyStoreName per specificarne il nuovo nome. Sostituisci tutti i valori di esempio con i valori effettivi per l'archivio delle chiavi esterne.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0--new-custom-key-store-nameXksKeyStore
Modifica delle credenziali di autenticazione proxy
L'esempio seguente aggiorna le credenziali di autenticazione proxy utilizzate daAWS KMS per l'autenticazione nel proxy dell'archivio delle chiavi esterne. Puoi utilizzare un comando simile a questo per aggiornare le credenziali se vengono ruotate sul proxy.
Aggiorna prima le credenziali nel proxy dell'archivio delle chiavi esterne. Quindi, utilizza questa funzione per segnalare la modifica ad AWS KMS. Il proxy supporterà per un breve periodo tempo sia le credenziali vecchie che quelle nuove, per consentirti di aggiornarle in AWS KMS.
Nelle credenziali devi specificare sia l'ID chiave di accesso che la chiave di accesso segreta, anche se viene modificato un solo valore.
I primi due comandi impostano le variabili per contenere i valori delle credenziali. Le operazioni UpdateCustomKeyStore utilizzano il parametro CustomKeyStoreId per identificare l'archivio delle chiavi esterne. Utilizza il parametro XksProxyAuthenticationCredential con i relativi campi AccessKeyId e RawSecretAccessKey per specificare le nuove credenziali. Sostituisci tutti i valori di esempio con i valori effettivi per l'archivio delle chiavi esterne.
$accessKeyID=access key id$secretAccessKey=secret access key$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-authentication-credential \ AccessKeyId=$accessKeyId,RawSecretAccessKey=$secretAccessKey
Modifica del percorso URI proxy
L'esempio seguente aggiorna il percorso URI proxy (XksProxyUriPath). La combinazione di endpoint URI proxy e percorso URI proxy deve essere univoca per Account AWS e regione. Sostituisci tutti i valori di esempio con i valori effettivi per l'archivio delle chiavi esterne.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-uri-path/kms/xks/v1
Passaggio alla connettività del servizio endpoint VPC
L'esempio seguente utilizza l'UpdateCustomKeyStoreoperazione per modificare il tipo di connettività proxy dell'archivio chiavi esterno inVPC_ENDPOINT_SERVICE. Per apportare questa modifica, devi specificare i valori richiesti per la connettività del servizio endpoint VPC, incluso il nome del servizio endpoint VPC (XksProxyVpcEndpointServiceName) e un valore dell'endpoint URI proxy (XksProxyUriEndpoint) che includa il nome DNS privato per il servizio endpoint VPC. Sostituisci tutti i valori di esempio con i valori effettivi per l'archivio delle chiavi esterne.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \ --xks-proxy-uri-endpointhttps://myproxy-private.xks.example.com\ --xks-proxy-vpc-endpoint-service-namecom.amazonaws.vpce.us-east-1.vpce-svc-example
Passaggio alla connettività dell'endpoint pubblico
L'esempio seguente modifica il tipo di connettività del proxy dell'archivio delle chiavi esterne in PUBLIC_ENDPOINT. Quando apporti questa modifica, devi aggiornare il valore dell'endpoint URI proxy (XksProxyUriEndpoint). Sostituisci tutti i valori di esempio con i valori effettivi per l'archivio delle chiavi esterne.
Nota
La connettività dell'endpoint VPC offre una maggiore sicurezza rispetto alla connettività dell'endpoint pubblico. Prima di passare alla connettività dell'endpoint pubblico, prendi in considerazione altre opzioni, tra cui il posizionamento del proxy dell'archivio delle chiavi esterne on-premise e l'utilizzo del VPC solo per la comunicazione.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-connectivity "PUBLIC_ENDPOINT" \ --xks-proxy-uri-endpoint https://myproxy.xks.example.com
