本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中斷連接 AWS CloudHSM 金鑰存放區
當您中斷連接 AWS CloudHSM 金鑰存放區時, 會 AWS KMS 登出 AWS CloudHSM 用戶端、中斷與相關聯 AWS CloudHSM 叢集的連線,並移除其為支援連線而建立的網路基礎設施。
當 AWS CloudHSM 金鑰存放區中斷連線時,您可以管理 AWS CloudHSM 金鑰存放區及其 KMS 金鑰,但無法在 AWS CloudHSM 金鑰存放區中建立或使用 KMS 金鑰。金鑰存放區的連接狀態為 `DISCONNECTED`,並且自訂金鑰存放區中 KMS 金鑰的[金鑰狀態](key-state.md)為 `Unavailable`,除非其為 `PendingDeletion`。您可以隨時重新連接 AWS CloudHSM 金鑰存放區。
**注意**
AWS CloudHSM 只有在金鑰存放區從未連線或您明確中斷`DISCONNECTED`連線時,金鑰存放區才會有連線狀態。如果您的 AWS CloudHSM 金鑰存放區連線狀態為 ,`CONNECTED`但您無法使用它,請確定其相關聯的 AWS CloudHSM 叢集處於作用中狀態,且至少包含一個作用中HSMs。如需連線失敗的協助,請參閱 [對自訂金鑰存放區進行故障診斷](fix-keystore.md)。
當您中斷連接自訂金鑰存放區時,該金鑰存放區中的 KMS 金鑰會立即變成無法使用 (視最終一致性而定)。不過,使用受 KMS 金鑰保護之[資料金鑰](data-keys.md)所加密的資源不會受影響,除非再次使用 KMS 金鑰 (例如解密資料金鑰)。此問題會影響 AWS 服務,其中許多服務會使用資料金鑰來保護您的資源。如需詳細資訊,請參閱[無法使用的 KMS 金鑰如何影響資料金鑰](unusable-kms-keys.md)。
**注意**
當自訂金鑰存放區中斷連接時,所有在自訂金鑰存放區中建立 KMS 金鑰的嘗試,或在密碼編譯操作中使用現有 KMS 金鑰的嘗試,均會失敗。此動作可防止使用者存放和存取敏感資料。
若要更好地預估中斷連接您的自訂金鑰存放區的效果,請在自訂金鑰存放區中[識別 KMS 金鑰](find-cmk-in-keystore.md),並[判斷其過去的使用情形](deleting-keys-determining-usage.md)。
您可能會因為下列原因中斷連接 AWS CloudHSM 金鑰存放區:
+ **為了輪換 `kmsuser` 密碼。** AWS KMS 會在每次連接到 AWS CloudHSM 叢集時變更 `kmsuser` 密碼。若要強制密碼輪換,只需中斷連接並重新連接。
+ **稽核叢集中 KMS 金鑰的金鑰材料**。 AWS CloudHSM 當您中斷連接自訂金鑰存放區時, 會 AWS KMS 登出 AWS CloudHSM 用戶端中的[`kmsuser`加密使用者帳戶](keystore-cloudhsm.md#concept-kmsuser)。這可讓您以 `kmsuser` CU 身分登入叢集,並稽核和管理 KMS 金鑰的金鑰材料。
+ **立即停用 AWS CloudHSM 金鑰存放區中的所有 KMS 金鑰。**您可以使用 AWS 管理主控台 或 [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) 操作,在 AWS CloudHSM 金鑰存放區中[停用和重新啟用 KMS](enabling-keys.md) 金鑰。這些操作會快速完成,但一次只能對一個 KMS 金鑰進行。中斷連接 AWS CloudHSM 金鑰存放區會立即將 AWS CloudHSM 金鑰存放區中所有 KMS 金鑰的金鑰狀態變更為 `Unavailable`,以防止在任何密碼編譯操作中使用它們。
+ **為了修復失敗的連接嘗試**。如果嘗試連接 AWS CloudHSM 金鑰存放區失敗 (自訂金鑰存放區的連線狀態為 `FAILED`),您必須先中斷連接 AWS CloudHSM 金鑰存放區,然後再嘗試再次連接。
## 中斷連接您的 AWS CloudHSM 金鑰存放區
您可以在 AWS KMS 主控台或使用 [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html) 操作中斷連接 AWS CloudHSM 金鑰存放區。
### 使用 AWS KMS 主控台中斷連線
若要中斷 AWS KMS 主控台中已連線的 AWS CloudHSM 金鑰存放區,請先從自訂 AWS CloudHSM 金鑰存放區頁面中選擇金鑰存放區。 ****
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS Key Management Service (AWS KMS) 主控台。
1. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
1. 在導覽窗格依次選擇**自訂金鑰存放區**、**AWS CloudHSM 金鑰存放區**。
1. 選擇您想要中斷連接的外部金鑰存放區列。
1. 從 **Key store actions** (金鑰存放區動作) 選單中,選擇 **Disconnect** (中斷連接)。
當操作完成時,連接狀態會從 **Disconnecting** (正在中斷連接) 變為 **Disconnected** (已中斷連接)。如果操作失敗,會出現錯誤訊息,其中描述問題並提供如何修正的協助。如果您需要更多協助,請參閱[對自訂金鑰存放區進行故障診斷](fix-keystore.md)。
### 使用 AWS KMS API 中斷連線
若要中斷連接已連線的 AWS CloudHSM 金鑰存放區,請使用 [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html) 操作。如果操作成功, 會 AWS KMS 傳回 HTTP 200 回應和沒有屬性的 JSON 物件。
本節中的範例使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/),但您可以使用任何支援的程式設計語言。
此範例會中斷 AWS CloudHSM 金鑰存放區的連線。執行此範例之前,請將範例 ID 以有效的 ID 取代。
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
若要確認 AWS CloudHSM 金鑰存放區已中斷連線,請使用 [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) 操作。在預設情況下,此操作會傳回您帳戶和區域中的所有自訂金鑰存放區。但是,您可以使用 `CustomKeyStoreId` 和 `CustomKeyStoreName` 參數 (但不能同時使用) 來限制對特定自訂金鑰存放區的回應。`ConnectionState` 的值`DISCONNECTED`表示此範例 AWS CloudHSM 金鑰存放區未連線到其 AWS CloudHSM 叢集。
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionState": "DISCONNECTED",
"CreationDate": "1.499288695918E9",
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"TrustAnchorCertificate": ""
],
}
```