AWS CloudHSM キーストア設定を編集する - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM キーストア設定を編集する

既存の AWS CloudHSM キーストアの設定は、変更できます。カスタムキーストアは、AWS CloudHSM クラスターから切断されている必要があります。

AWS CloudHSM キーストア設定を編集するには:

  1. カスタムキーストアの AWS CloudHSM クラスターから、カスタムキーストアを切断します

    カスタムキーストアが切断されている間は、カスタムキーストアで AWS KMS keys (KMS キー) を作成したり、暗号化オペレーション用に含められている KMS キーを使用したりすることはできません。

  2. 1 つ以上の AWS CloudHSM キーストア設定を編集します。

    カスタムキーストアで次の設定を編集できます。

    カスタムキーストアのわかりやすい名前。

    新しい分かりやすい名前を入力します。新しい名前は、AWS アカウント 内のすべてのカスタムキーストアの間で一意でなければなりません。

    重要

    このフィールドには、機密情報や重要情報を含めないでください。このフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。

    関連付け済みの AWS CloudHSM クラスターのクラスター ID。

    この値を編集して、関連する AWS CloudHSM クラスターを元のクラスターと置き換えます。この機能を使用して、AWS CloudHSM クラスターが破損した場合、または削除された場合にカスタムキーストアを修復できます。

    元のクラスターとバックアップ履歴を共有する AWS CloudHSM クラスターを指定して、異なるアベイラビリティーゾーンの 2 つのアクティブな HSM を含むカスタムキーストアとの関連付けの要件を満たします。バックアップ履歴を共有するクラスターには同じクラスター証明書があります。クラスターのクラスター証明書を表示するには、 DescribeClusters オペレーションを使用します。編集機能を使用してカスタムキーストアを無関係な AWS CloudHSM クラスターと関連付けることはできません。

    kmsuser Crypto User (CU) の現在のパスワード。

    AWS CloudHSM クラスター内の kmsuser CU の現在のパスワードを AWS KMS に伝えます。このアクションでは、AWS CloudHSM クラスター内の kmsuser CU のパスワードは変更されません。

    AWS CloudHSM クラスター内の kmsuser CU のパスワードを変更する場合は、この機能を使用して、AWS KMS に 新しい kmsuser のパスワードを指定します。それ以外の場合、AWS KMS はクラスターにログインできず、カスタムキーストアをクラスターに接続しようとするすべての試行は失敗します。

  3. カスタムキーストアを AWS CloudHSM クラスターに再接続します

キーストア設定を編集する

AWS CloudHSM キーストアの設定は、AWS KMS コンソールで、または UpdateCustomKeyStore オペレーションを使用して編集できます。

AWS CloudHSM キーストアを編集すると、設定可能な任意の値を変更できます。

  1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[カスタムキーストア][AWS CloudHSM キーストア] の順に選択します。

  4. 編集する AWS CloudHSM キーストアの行を選択します。

    [接続の状態] 列の値が [切断済み] になっていない場合は、カスタムキーストアを切断してから編集する必要があります。([Key store actions] (キーストアアクション) メニューから [Disconnect] (切断) を選択します)。

    AWS CloudHSM キーストアが切断されている間は AWS CloudHSM キーストアとその KMS キーを管理できますが、AWS CloudHSM キーストアで KMS キーを作成または使用することはできません。

  5. [Key store actions] (キーストアアクション) メニューから [Edit] (編集) を選択します。

  6. 次のいずれかのアクションを実行します。

    • カスタムキーストアの新しいわかりやすい名前を入力します。

    • 関連する AWS CloudHSM クラスターのクラスター ID を入力します。

    • 関連付けられた AWS CloudHSM クラスターに kmsuser 暗号化ユーザーの現在のパスワードを入力します。

  7. [Save] を選択します。

    プロシージャが正常に完了すると、編集した設定を説明するメッセージが表示されます。正常に行われなかった場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「カスタムキーストアのトラブルシューティング」を参照してください。

  8. カスタムキーストアを再接続します。

    AWS CloudHSM キーストアを使用するときは、編集後にこれを再接続する必要があります。AWS CloudHSM キーストアは切断されたままにすることができます。ただし、切断されている間は、AWS CloudHSM キーストアで KMS キーを作成したり、暗号化オペレーションで AWS CloudHSM キーストア内の KMS キーを使用したりすることはできません。

AWS CloudHSM キーストアのプロパティを変更するには、UpdateCustomKeyStore オペレーションを使用します。同じコマンドで、カスタムキーストアの複数のプロパティを変更できます。オペレーションが成功すると、AWS KMS は HTTP 200 レスポンスおよびプロパティなしの JSON オブジェクトを返します。変更が有効になっていることを確認するには、DescribeCustomKeyStores オペレーションを使用します。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

まず、DisconnectCustomKeyStore を使用して AWS CloudHSM クラスターからカスタムキーストアを切断します。例のカスタムキーストア ID cks-1234567890abcdef0 を実際の ID に置き換えます。

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

最初の例では、UpdateCustomKeyStore を使用して AWS CloudHSM カスタムキーストアのフレンドリ名を DevelopmentKeys に変更します 。このコマンドでは、CustomKeyStoreId パラメータを使用して AWS CloudHSM キーストアを識別し、CustomKeyStoreName でカスタムキーストアの新しい名前を指定します。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

次の例では、AWS CloudHSM に関連付けられたクラスターを、同じクラスターの別のバックアップに変更します。このコマンドでは、CustomKeyStoreId パラメータを使用して AWS CloudHSM キーストアを識別し、CloudHsmClusterId パラメータで新しいクラスター ID を指定します。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

次の例では、AWS KMS に現在の kmsuser のパスワードは ExamplePassword であると伝えます。このコマンドでは、CustomKeyStoreId パラメータを使用して AWS CloudHSM キーストアを識別し、KeyStorePassword パラメータで現在のパスワードを指定します。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

最後のコマンドは、AWS CloudHSM キーストアを AWS CloudHSM クラスターに再接続します。カスタムキーストアは切断された状態のままにできますが、新しい KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする前に接続する必要があります。カスタムキーストア ID 例を実際の ID と置き換えます。

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0