本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
當您中斷連接 AWS CloudHSM 金鑰存放區時, AWS KMS 會登出 AWS CloudHSM 用戶端、中斷與相關聯 AWS CloudHSM 叢集的連線,並移除其建立來支援連線的網路基礎設施。
當 AWS CloudHSM 金鑰存放區中斷連線時,您可以管理 AWS CloudHSM 金鑰存放區及其 KMS 金鑰,但無法在 AWS CloudHSM 金鑰存放區中建立或使用 KMS 金鑰。金鑰存放區的連接狀態為 DISCONNECTED,並且自訂金鑰存放區中 KMS 金鑰的金鑰狀態為 Unavailable,除非其為 PendingDeletion。您可以隨時重新連接 AWS CloudHSM 金鑰存放區。
注意
AWS CloudHSM 只有在金鑰存放區從未連線或您明確中斷DISCONNECTED連線時,金鑰存放區才會有連線狀態。如果您的 AWS CloudHSM 金鑰存放區連線狀態為 ,CONNECTED但您使用它時發生問題,請確定其相關聯的 AWS CloudHSM 叢集處於作用中狀態,且至少包含一個作用中HSMs。如需連線失敗的協助,請參閱 對自訂金鑰存放區進行故障診斷。
當您中斷連接自訂金鑰存放區時,該金鑰存放區中的 KMS 金鑰會立即變成無法使用 (視最終一致性而定)。不過,使用受 KMS 金鑰保護之資料金鑰所加密的資源不會受影響,除非再次使用 KMS 金鑰 (例如解密資料金鑰)。此問題會影響 AWS 服務,其中許多服務會使用資料金鑰來保護您的資源。如需詳細資訊,請參閱 無法使用的 KMS 金鑰如何影響資料金鑰。
注意
當自訂金鑰存放區中斷連接時,所有在自訂金鑰存放區中建立 KMS 金鑰的嘗試,或在密碼編譯操作中使用現有 KMS 金鑰的嘗試,均會失敗。此動作可防止使用者存放和存取敏感資料。
若要更好地預估中斷連接您的自訂金鑰存放區的效果,請在自訂金鑰存放區中識別 KMS 金鑰,並判斷其過去的使用情形。
您可能會因為下列原因中斷連接 AWS CloudHSM 金鑰存放區:
-
為了輪換
kmsuser密碼。 AWS KMS 會在每次連接到 AWS CloudHSM 叢集時變更kmsuser密碼。若要強制密碼輪換,只需中斷連接並重新連接。 -
稽核叢集中 KMS 金鑰的金鑰材料。 AWS CloudHSM 當您中斷連接自訂金鑰存放區時, AWS KMS 會登出 AWS CloudHSM 用戶端中的kmsuser加密使用者帳戶。這可讓您以
kmsuserCU 身分登入叢集,並稽核和管理 KMS 金鑰的金鑰材料。 -
立即停用 AWS CloudHSM 金鑰存放區中的所有 KMS 金鑰。您可以使用 或 DisableKey 操作,在金鑰存放區中停用和重新啟用 KMS 金鑰。 AWS CloudHSM AWS Management Console DisableKey 這些操作會快速完成,但一次只能對一個 KMS 金鑰進行。中斷連接 AWS CloudHSM 金鑰存放區會立即將 AWS CloudHSM 金鑰存放區中所有 KMS 金鑰的金鑰狀態變更為
Unavailable,以防止在任何密碼編譯操作中使用它們。 -
為了修復失敗的連接嘗試。如果嘗試連接 AWS CloudHSM 金鑰存放區失敗 (自訂金鑰存放區的連線狀態為
FAILED),您必須先中斷連接 AWS CloudHSM 金鑰存放區,然後再嘗試再次連接。
中斷連接您的 AWS CloudHSM 金鑰存放區
您可以在 AWS KMS 主控台或使用 DisconnectCustomKeyStore 操作中斷 AWS CloudHSM 連接金鑰存放區。
若要中斷 AWS KMS 主控台中已連線 AWS CloudHSM 的金鑰存放區,請先從自訂 AWS CloudHSM 金鑰存放區頁面選擇金鑰存放區。
-
登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/kms
開啟 AWS Key Management Service (AWS KMS) 主控台。 -
若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
-
在導覽窗格依次選擇自訂金鑰存放區、AWS CloudHSM 金鑰存放區。
-
選擇您想要中斷連接的外部金鑰存放區列。
-
從 Key store actions (金鑰存放區動作) 選單中,選擇 Disconnect (中斷連接)。
當操作完成時,連接狀態會從 Disconnecting (正在中斷連接) 變為 Disconnected (已中斷連接)。如果操作失敗,會出現錯誤訊息,其中描述問題並提供如何修正的協助。如果您需要更多協助,請參閱對自訂金鑰存放區進行故障診斷。
若要中斷連接已連線的 AWS CloudHSM 金鑰存放區,請使用 DisconnectCustomKeyStore 操作。如果操作成功, 會 AWS KMS 傳回 HTTP 200 回應和沒有屬性的 JSON 物件。
本節中的範例使用 AWS Command Line Interface
(AWS CLI)
此範例會中斷與 AWS CloudHSM 金鑰存放區的連線。執行此範例之前,請將範例 ID 以有效的 ID 取代。
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
若要確認 AWS CloudHSM 金鑰存放區已中斷連線,請使用 DescribeCustomKeyStores 操作。在預設情況下,此操作會傳回您帳戶和區域中的所有自訂金鑰存放區。但是,您可以使用 CustomKeyStoreId 和 CustomKeyStoreName 參數 (但不能同時使用) 來限制對特定自訂金鑰存放區的回應。ConnectionState 的值DISCONNECTED表示此範例 AWS CloudHSM 金鑰存放區未連線到其 AWS CloudHSM 叢集。
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionState": "DISCONNECTED",
"CreationDate": "1.499288695918E9",
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"TrustAnchorCertificate": "<certificate string appears here>"
],
}