編輯 AWS CloudHSM 金鑰存放區設定 - AWS Key Management Service
編輯您的金鑰存放區設定

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

編輯 AWS CloudHSM 金鑰存放區設定

您可以變更現有 AWS CloudHSM 金鑰存放區的設定。自訂金鑰存放區必須中斷其 AWS CloudHSM 叢集的連線。

若要編輯 AWS CloudHSM 金鑰存放區設定:

  1. 將自訂金鑰存放區從其 AWS CloudHSM 叢集中斷連線。

    當自訂金鑰存放區中斷連線時,您無法在自訂金鑰存放區中建立 AWS KMS keys (KMS 金鑰),也無法使用其包含的KMS金鑰進行密碼編譯操作。

  2. 編輯一或多個 AWS CloudHSM 金鑰存放區設定。

    您可以編輯自訂金鑰存放區中的以下設定:

    自訂金鑰存放區的易記名稱。

    輸入新的易記名稱。新名稱在您的 中的所有自訂金鑰存放區中必須是唯一的 AWS 帳戶。

    重要

    請勿在此欄位包含機密或敏感資訊。此欄位可能會在 CloudTrail 日誌和其他輸出中以純文字顯示。

    關聯叢集的 AWS CloudHSM 叢集 ID。

    編輯此值以取代原始叢集的相關 AWS CloudHSM 叢集。如果自訂金鑰存放區 AWS CloudHSM 叢集損毀或刪除,您可以使用此功能來修復自訂金鑰存放區。

    指定與原始 AWS CloudHSM 叢集共用備份歷史記錄的叢集,並滿足與自訂金鑰存放區關聯的要求,包括在HSMs不同的可用區域中啟用的兩個叢集。共用備份歷史記錄的叢集具有相同的叢集憑證。若要檢視叢集的叢集憑證,請使用 DescribeClusters操作。您無法使用編輯功能,將自訂金鑰存放區與不相關的 AWS CloudHSM 叢集產生關聯。

    kmsuser 加密使用者 (CU) 的目前密碼。

    告知叢集中 kmsuser CU AWS CloudHSM 的 AWS KMS 目前密碼。此動作不會變更 AWS CloudHSM 叢集中 kmsuser CU 的密碼。

    如果您變更 AWS CloudHSM 叢集中 kmsuser CU 的密碼,請使用此功能來告知 AWS KMS kmsuser新密碼。否則, AWS KMS 會無法登入叢集,並且將自訂金鑰存放區連接到叢集的所有嘗試都會失敗。

  3. 將自訂金鑰存放區重新連接至其 AWS CloudHSM 叢集。

編輯您的金鑰存放區設定

您可以在 AWS KMS 主控台或使用 UpdateCustomKeyStore操作來編輯 AWS CloudHSM 金鑰存放區設定。

編輯 AWS CloudHSM 金鑰存放區時,您可以變更任何 或可設定的值。

  1. 登入 AWS Management Console 並在 https://console.aws.amazon.com/kms 開啟 AWS Key Management Service (AWS KMS) 主控台。

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選取器。

  3. 在導覽窗格依次選擇自訂金鑰存放區AWS CloudHSM 金鑰存放區

  4. 選擇您要編輯的 AWS CloudHSM 金鑰存放區資料列。

    Connection state (連接狀態) 欄的值不是 DISCONNECTED (已中斷連接),則在編輯之前,您必須先中斷連接自訂金鑰存放區。(從 Key store actions (金鑰存放區動作) 選單中,選擇 Disconnect (中斷連接)。)

    當 AWS CloudHSM 金鑰存放區中斷連線時,您可以管理 AWS CloudHSM 金鑰存放區及其KMS金鑰,但無法在 AWS CloudHSM 金鑰存放區中建立或使用KMS金鑰。

  5. Key store actions (金鑰存放區動作) 選單中,選擇 Edit (編輯)。

  6. 執行下列其中一或多個動作。

    • 輸入自訂金鑰存放區的易記名稱。

    • 輸入相關叢集的 AWS CloudHSM 叢集 ID。

    • 在關聯的 AWS CloudHSM 叢集中輸入kmsuser加密使用者的目前密碼。

  7. 選擇 Save (儲存)。

    當程序成功時,會出現訊息描述您編輯的設定。當操作失敗時,會出現錯誤訊息,其中描述問題並提供如何修正的協助。如果您需要更多協助,請參閱對自訂金鑰存放區進行故障診斷

  8. 重新連接自訂金鑰存放區。

    若要使用 AWS CloudHSM 金鑰存放區,您必須在編輯後重新連線。您可以將 AWS CloudHSM 金鑰存放區保持中斷連接。但在中斷連線時,您無法在KMS金鑰 AWS CloudHSM 存放區中建立KMS金鑰,或在密碼編譯操作 中使用 AWS CloudHSM 金鑰存放區中的金鑰。

若要變更 AWS CloudHSM 金鑰存放區的屬性,請使用 UpdateCustomKeyStore操作。您可以在相同命令中變更自訂金鑰存放區的多個屬性。如果操作成功, 會 AWS KMS 傳回 200 HTTP 回應和沒有屬性的JSON物件。若要驗證變更是否有效,請使用 DescribeCustomKeyStores操作。

本節中的範例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何支援的程式設計語言。

首先使用 DisconnectCustomKeyStore自訂金鑰存放區與其叢集中斷連線。 AWS CloudHSM 將範例自訂金鑰存放區 ID cks-1234567890abcdef0 以實際 ID 取代。

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

第一個範例使用 將 AWS CloudHSM 金鑰存放區的易記名稱UpdateCustomKeyStore變更為 DevelopmentKeys。命令使用 CustomKeyStoreId 參數來識別 AWS CloudHSM 金鑰存放區,並使用 CustomKeyStoreName來指定自訂金鑰存放區的新名稱。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

下列範例會將與 AWS CloudHSM 金鑰存放區相關聯的叢集變更為相同叢集的另一個備份。命令會使用 CustomKeyStoreId 參數來識別 AWS CloudHSM 金鑰存放區,並使用 CloudHsmClusterId 參數來指定新的叢集 ID。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

下列範例 AWS KMS 說明目前的kmsuser密碼為 ExamplePassword。命令會使用 CustomKeyStoreId 參數來識別 AWS CloudHSM 金鑰存放區,並使用 KeyStorePassword 參數來指定目前的密碼。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

最終命令會將 AWS CloudHSM 金鑰存放區重新連線至其 AWS CloudHSM 叢集。您可以讓自訂金鑰存放區處於中斷連線狀態,但必須先連線,才能建立新的KMS金鑰或使用現有KMS金鑰進行密碼編譯操作。將範例自訂金鑰存放區 ID 以實際 ID 取代。

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0