翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 外部キーストアプロパティを編集する
<a name="update-xks-keystore"></a>

既存の外部キーストアの選択したプロパティは、編集が可能です。

一部のプロパティは、外部キーストアが接続または切断されている間、編集することができます。それ以外のプロパティでは、先に、外部キーストアプロキシから[外部キーストアを切断する](xks-connect-disconnect.md)必要があります。外部キーストアの[接続ステータス](xks-connect-disconnect.md#xks-connection-state)は `DISCONNECTED` でなければなりません。外部キーストアが切断されている間はキーストアとその KMS キーを管理することはできますが、外部キーストアで KMS キーを作成または使用することはできません。外部キーストアの[接続ステータス](xks-connect-disconnect.md#xks-connection-state)を見つけるには、[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) オペレーションを使用するか、外部キーストアの詳細ページで **[General configuration]** (一般設定) を表示します。

外部キーストアのプロパティを更新する前に、 は新しい値を使用して [GetHealthStatus](keystore-external.md#concept-proxy-apis) リクエストを外部キーストアプロキシ AWS KMS に送信します。リクエストが成功すると、更新されたプロパティ値を使って外部キーストアプロキシに接続し、これを認証できることが示されます。リクエストが失敗すると、編集オペレーションは失敗し、エラーを特定する例外が生じます。

編集オペレーションが完了すると、外部キーストアの更新されたプロパティ値が AWS KMS コンソールと`DescribeCustomKeyStores`レスポンスに表示されます。ただし、変更が完全に有効になるまでに最大で 5 分かかります。

 AWS KMS コンソールで外部キーストアを編集する場合は、プロキシ [URI パスとプロキシ](create-xks-keystore.md#require-path)[認証情報](keystore-external.md#concept-xks-credential)を指定する JSON ベースの[プロキシ設定ファイル](create-xks-keystore.md#proxy-configuration-file)をアップロードできます。一部の外部キーストアプロキシでは、このファイルは自動的に生成されます。詳細については、外部キーストアプロキシか外部キーマネージャーのドキュメントを参照してください。

**警告**  
更新されたプロパティ値により、外部キーストアは、以前の値と同じ外部キーマネージャーのプロキシに接続するか、同じ暗号化キーを持つ外部キーマネージャーのバックアップまたはスナップショットのプロキシに接続します。外部キーストアが KMS キーに関連付けられた外部キーへのアクセスを完全に失うと、それらの外部キーで暗号化された暗号文は回復不能になります。特に、外部キーストアのプロキシ接続を変更すると、 AWS KMS が外部キーにアクセスできなくなる可能性があります。

**ヒント**  
外部キーマネージャーの中には、外部キーストアプロパティを編集するための簡単な方法が用意されているものもあります。詳細については外部キーマネージャーのドキュメントを参照してください。

外部キーストアの次のプロパティは、変更が可能です。


| 編集可能な外部キーストアプロパティ | どの接続ステータスでも可 | 切断済み状態が必要 | 
| --- | --- | --- | 
| カスタムキーストア名 カスタムキーストアの必須フレンドリ名 このフィールドには、機密情報や重要情報を含めないでください。このフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/icon-successful.png) |  | 
| [プロキシ認証の認証情報](keystore-external.md#concept-xks-credential) (XksProxyAuthenticationCredential)(1 つの要素のみを変更する場合でも、アクセスキー ID とシークレットアクセスキーの両方を指定する必要がある)。 | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/icon-successful.png) |  | 
| [プロキシ URI パス](create-xks-keystore.md#require-path) (XksProxyUriPath) | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/icon-successful.png) |  | 
| [プロキシ接続](keystore-external.md#concept-xks-connectivity) (XksProxyConnectivity)(プロキシ URI エンドポイントも更新する必要がある。VPC エンドポイントサービス接続に変更する場合、プロキシ VPC エンドポイントサービス名を指定する)。 |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/icon-successful.png) | 
| [プロキシ URI エンドポイント](create-xks-keystore.md#require-endpoint) (XksProxyUriEndpoint)プロキシエンドポイント URI を変更する場合、関連付けられた TLS 証明書の変更も必要になる場合がある。 |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/icon-successful.png) | 
| [プロキシ VPC エンドポイントのサービス名](create-xks-keystore.md#require-vpc-service-name) (XksProxyVpcEndpointServiceName)(このフィールドは VPC エンドポイントサービスの接続に必要)。 |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/icon-successful.png) | 
| [VPC エンドポイントサービス所有者](create-xks-keystore.md#require-vpc-service-name) (XksProxyVpcEndpointServiceOwner)(このフィールドは VPC エンドポイントサービスの接続に必要)。 |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/icon-successful.png) | 

## 外部キーストアのプロパティを編集する
<a name="edit-xks-keystore"></a>

外部キーストアのプロパティは、 AWS KMS コンソールで編集するか、[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html) オペレーションを使用して編集できます。

### AWS KMS コンソールの使用
<a name="update-keystore-console"></a>

キーストアを編集するときは、編集可能な値のいずれかを変更できます。一部の変更では、外部キーストアを外部キーストアプロキシから切断することが必要になります。

プロキシ URI パスまたはプロキシ認証の認証情報を編集する場合は、新しい値を入力するか、新しい値を含む、外部キーストアの[プロキシ設定ファイル](create-xks-keystore.md#proxy-configuration-file)をアップロードします。

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。

1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

1. ナビゲーションペインで、**[Custom key stores]** (カスタムキーストア)、**[External key stores]** (外部キーストア) の順に選択します。

1. 編集するキーストアを選択します。

   1. 必要に応じて、外部キーストアを外部キーストアプロキシから切断します。**[Key store actions]** (キーストアアクション) メニューから **[Disconnect]** (切断) を選択します。

1. **[Key store actions]** (キーストアアクション) メニューから **[Edit]** (編集) を選択します。

1. 1 つまたは複数の編集可能な外部キーストアプロパティを変更します。また、プロキシ URI パスとプロキシ認証の認証情報の値を含む、外部キーストア[プロキシ設定ファイル](create-xks-keystore.md#proxy-configuration-file)をアップロードすることもできます。プロキシ設定ファイルは、ファイル内の指定された値が変更されていなくても、使用できます。

1. **[Update external key store]** (外部キーストアの更新) を選択します。

1. 警告を確認し、続行する場合は警告を確定し、**[Update external key store]** (外部キーストアの更新) を選択します。

   手順が正常に完了すると、編集したプロパティについて説明するメッセージが表示されます。正常に行われなかった場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。

1. 必要に応じて、外部キーストアを再接続します。**[Key store actions]** (キーストアアクション) メニューから **[Connect]** (接続) を選択します。

   外部キーストアは切断された状態にしておくことができます。ただし、切断されている間は外部キーストアで KMS キーを作成したり、[暗号化オペレーション](manage-cmk-keystore.md#use-cmk-keystore)で外部キーストア内の KMS キーを使用したりすることはできません。

### AWS KMS API の使用
<a name="update-keystore-api"></a>

外部キーストアのプロパティを変更するには、[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html) オペレーションを使用します。同じオペレーションで外部キーストアの複数のプロパティを変更できます。オペレーションが成功すると、 は HTTP 200 レスポンスとプロパティのない JSON オブジェクト AWS KMS を返します。

外部キーストアを識別するには `CustomKeyStoreId` パラメータを使用します。プロパティを変更するには他のパラメータを使用します。`UpdateCustomKeyStore` オペレーションでは、[プロキシ設定ファイル](create-xks-keystore.md#proxy-configuration-file)を使用できません。プロキシ設定ファイルは、 AWS KMS コンソールでのみサポートされています。ただし、プロキシ設定ファイルは、外部キーストアプロキシの正しいパラメータ値を決める際に役立ちます。

このセクションの例では [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

始める前に、[必要に応じて](#update-xks-keystore)、外部キーストアプロキシから[外部キーストア](xks-connect-disconnect.md)を切断します。更新後、必要に応じて、外部キーストアプロキシに[外部キーストアを再接続](xks-connect-disconnect.md)できます。外部キーストアは切断された状態にしておくことができますが、キーストアに新しい KMS キーを作成したり、暗号化オペレーションのためにキーストアで既存の KMS キーを使用したりするときは、先に接続しておく必要があります。

**注記**  
 AWS CLI バージョン 1.0 を使用する場合は、 パラメータなどの HTTP または HTTPS 値を持つ`XksProxyUriEndpoint`パラメータを指定する前に、次のコマンドを実行します。  

```
aws configure set cli_follow_urlparam false
```
それ以外の場合、 AWS CLI バージョン 1.0 はパラメータ値をその URI アドレスにあるコンテンツに置き換え、次のエラーが発生します。  

```
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404
```

#### 外部キーストアの名前を変更する
<a name="xks-edit-name"></a>

最初の例では、[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html) オペレーションを使用して、カスタムキーストアのフレンドリ名を `XksKeyStore` に変更します。このコマンドでは、`CustomKeyStoreId` パラメータを使用してカスタムキーストアを識別し、`CustomKeyStoreName` でカスタムキーストアの新しい名前を指定します。例にある値は、すべて外部キーストアの実際の値に置き換えます。

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name XksKeyStore
```

#### プロキシ認証の認証情報を変更する
<a name="xks-edit-credential"></a>

次の例では、 AWS KMS が外部キーストアプロキシの認証に使用する、プロキシ認証の認証情報を更新します。認証情報を更新するとき、それがプロキシ上でローテーションされる場合は、このようなコマンドを使用できます。

まず、外部キーストアプロキシで認証情報を更新します。次に、この機能を使用して AWS KMSに変更を報告します。(プロキシは古い認証情報と新しい認証情報の両方を一時的にサポートするため、認証情報を更新する時間があります) AWS KMS。

変更する値が 1 つのみの場合でも、アクセスキー ID とシークレットアクセスキーの両方を認証情報で指定する必要があります。

最初の 2 つのコマンドは、認証情報値を保持する変数を設定します。`UpdateCustomKeyStore` オペレーションは `CustomKeyStoreId` パラメータを使って外部キーストアを識別します。`XksProxyAuthenticationCredential` パラメータをその `AccessKeyId` と `RawSecretAccessKey` フィールドで使用し、新しい認証情報を指定します。例にある値は、すべて外部キーストアの実際の値に置き換えます。

```
$ accessKeyID=access key id
$ secretAccessKey=secret access key

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
        --xks-proxy-authentication-credential \ 
            AccessKeyId=$accessKeyId,RawSecretAccessKey=$secretAccessKey
```

#### プロキシ URI パスを変更する
<a name="xks-edit-path"></a>

次の例では、プロキシ URI パス (`XksProxyUriPath`) を更新します。プロキシ URI エンドポイントとプロキシ URI パスの組み合わせは、 AWS アカウント および リージョンで一意である必要があります。例にある値は、すべて外部キーストアの実際の値に置き換えます。

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-uri-path /kms/xks/v1
```

#### VPC エンドポイントサービス接続を変更する
<a name="xks-edit-connectivity-vpc"></a>

次の例では、[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html) オペレーションを使用して、外部キーストアのプロキシ接続タイプを `VPC_ENDPOINT_SERVICE` に変更します。この変更を行うには、VPC エンドポイントサービスの接続に必要な値 (VPC エンドポイントサービス名 (`XksProxyVpcEndpointServiceName`)、VPC エンドポイントサービスのプライベート DNS 名を含むプロキシ URI エンドポイント (`XksProxyUriEndpoint`) 値など) を指定する必要があります。例にある値は、すべて外部キーストアの実際の値に置き換えます。

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \
            --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
            --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example
```

#### パブリックエンドポイント接続の変更
<a name="xks-edit-connectivity-public"></a>

次の例では、外部キーストアプロキシの接続タイプを `PUBLIC_ENDPOINT` に変更します。この変更を行うときは、プロキシ URI エンドポイント (`XksProxyUriEndpoint`) の値を更新する必要があります。例にある値は、すべて外部キーストアの実際の値に置き換えます。

**注記**  
VPC エンドポイント接続は、パブリックエンドポイント接続に比べてセキュリティが優れています。パブリックエンドポイント接続に変更するときは、外部キーストアプロキシのオンプレミスでの配置や、通信のみに VPC を使用するといった他の選択肢を先に検討します。

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "PUBLIC_ENDPOINT" \
            --xks-proxy-uri-endpoint https://myproxy.xks.example.com
```