Einstellungen des AWS CloudHSM-Schlüsselspeichers bearbeiten - AWS Key Management Service
Bearbeiten eines AWS CloudHSM-Schlüsselspeichers (Konsole)Einen AWS CloudHSM-Schlüsselspeicher (API) bearbeiten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einstellungen des AWS CloudHSM-Schlüsselspeichers bearbeiten

Sie können die Einstellungen eines vorhandenen AWS CloudHSM-Schlüsselspeichers ändern. Der benutzerdefinierte Schlüsselspeicher muss von dessen AWS CloudHSM-Cluster getrennt sein.

So bearbeiten Sie die Einstellungen desAWS CloudHSM-Schlüsselspeichers:

  1. Trennen Sie den benutzerdefinierten Schlüsselspeicher von dessen AWS CloudHSM-Cluster. Während der benutzerdefinierte Schlüsselspeicher getrennt ist, können Sie im benutzerdefinierten Schlüsselspeicher keine AWS KMS keys (KMS-Schlüssel) erstellen und die enthaltenen KMS-Schlüssel nicht für kryptografische Operationen verwenden.

  2. Bearbeiten Sie eine oder mehrere der Einstellungen für den AWS CloudHSM-Schlüsselspeicher.

  3. Verbinden Sie den benutzerdefinierten Schlüsselspeicher wieder mit dessen AWS CloudHSM-Cluster.

Sie können in einem benutzerdefinierten Schlüsselspeicher die folgenden Einstellungen ändern:

Anzeigename des benutzerdefinierten Schlüsselspeichers.

Geben Sie einen neuen Anzeigenamen ein. Der neue Name muss unter allen benutzerdefinierten Schlüsselspeichern in Ihrem AWS-Konto eindeutig sein.

Wichtig

Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.

Cluster-ID des verknüpften AWS CloudHSM-Clusters.

Bearbeiten Sie diesen Wert, um das ursprüngliche Cluster durch ein verwandtes AWS CloudHSM-Cluster zu ersetzen. Sie können dieses Feature verwenden, um einen benutzerdefinierten Schlüsselspeicher zu reparieren, wenn dessen AWS CloudHSM-Cluster beschädigt oder gelöscht wurde.

Geben Sie ein AWS CloudHSM-Cluster ein, das denselben Sicherungsverlauf wie das ursprüngliche Cluster hat und die Anforderungen in Bezug auf Verknüpfungen mit benutzerdefinierten Schlüsselspeichern erfüllt, einschließlich des Vorhandenseins von zwei aktiven HSMs in verschiedenen Availability Zones. Cluster mit einem gemeinsamen Sicherungsverlauf haben dasselbe Cluster-Zertifikat. Um das Cluster-Zertifikat eines Clusters anzuzeigen, verwenden Sie die -DescribeClustersOperation. Sie können das Bearbeitungs-Feature nicht verwenden, um den benutzerdefinierten Schlüsselspeicher mit einem nicht verwandten AWS CloudHSM-Cluster zu verknüpfen.

Das aktuelle Passwort des kmsuser Kryptobenutzers (Crypto User, CU).

Teilt AWS KMS das aktuelle Passwort des kmsuser-CU im AWS CloudHSM-Cluster mit. Durch diese Aktion wird das Passwort des kmsuser-CU im AWS CloudHSM-Cluster nicht geändert.

Wenn Sie das Passwort des kmsuser-CU im AWS CloudHSM-Cluster ändern, verwenden Sie dieses Feature, um AWS KMS das neue kmsuser-Passwort mitzuteilen. Andernfalls kann sich AWS KMS nicht am Cluster anmelden und jeder Versuch, den benutzerdefinierten Schlüsselspeicher mit dem Cluster zu verbinden, schlägt fehl.

Bearbeiten eines AWS CloudHSM-Schlüsselspeichers (Konsole)

Wenn Sie einen AWS CloudHSM-Schlüssel bearbeiten, können Sie die konfigurierbaren Werte ändern.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.

  2. Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Wählen Sie im Navigationsbereich Custom key stores (benutzerdefinierte Schlüsselspeicher) AWS CloudHSM-Schlüsselspeicher aus.

  4. Wählen Sie die Zeile des AWS CloudHSM-Schlüsselspeichers aus, den Sie bearbeiten möchten.

    Wenn der Wert in der Spalte Verbindungsstatus nicht Getrennt lautet, müssen Sie den benutzerdefinierten Schlüsselspeicher trennen, um ihn bearbeiten zu können. (Wählen Sie im Menü Key store actions(Key Store-Aktionen) die Option Disconnect (Trennen) aus.)

    Solange die Verbindung eines AWS CloudHSM-Schlüsselspeichers getrennt ist, können Sie den AWS CloudHSM-Schlüsselspeicher und seine (KMS-Schlüssel) zwar verwalten, jedoch keine KMS-Schlüssel in dem AWS CloudHSM-Schlüsselspeicher erstellen oder verwenden.

  5. Wählen Sie im Menü Key store actions (Schlüsselspeicheraktionen) die Option Edit (Bearbeiten) aus.

  6. Führen Sie eine oder mehrere der folgenden Aktionen aus.

    • Geben Sie einen neuen Anzeigenamen für den benutzerdefinierten Schlüsselspeicher ein.

    • Geben Sie die Cluster-ID eines verwandten AWS CloudHSM-Clusters ein.

    • Geben Sie das aktuelle Passwort des kmsuser Kryptobenutzers im verknüpften AWS CloudHSM-Cluster ein.

  7. Wählen Sie Speichern.

    Wenn der Vorgang erfolgreich ist, wird Ihnen eine Meldung mit einer Beschreibung der von Ihnen bearbeiteten Einstellungen angezeigt. Wenn der Vorgang nicht erfolgreich ist, wird Ihnen eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt Fehlerbehebung für einen Custom Key Store.

  8. Stellen Sie die Verbindung des benutzerdefinierten Schlüsselspeichers wieder her.

    Um den AWS CloudHSM-Schlüsselspeicher verwenden zu können, müssen Sie ihn nach dem Bearbeiten erneut verbinden. Sie können den AWS CloudHSM-Schlüsselspeicher getrennt lassen. Während er getrennt ist können Sie jedoch im AWS CloudHSM-Schlüsselspeicher keine KMS-Schlüssel erstellen oder die KMS-Schlüssel im AWS CloudHSM-Schlüsselspeicher für kryptografische Vorgänge verwenden.

Einen AWS CloudHSM-Schlüsselspeicher (API) bearbeiten

Um die Eigenschaften eines -AWS CloudHSMSchlüsselspeichers zu ändern, verwenden Sie die -UpdateCustomKeyStoreOperation. Sie können im selben Befehl mehrere Eigenschaften eines benutzerdefinierten Schlüsselspeichers ändern. Wenn die Operation erfolgreich ausgeführt wurde, gibt AWS KMS eine HTTP-200-Antwort und ein JSON-Objekt ohne Eigenschaften zurück. Um zu überprüfen, ob die Änderungen wirksam sind, verwenden Sie die -DescribeCustomKeyStoresOperation.

Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

Verwenden Sie zunächst DisconnectCustomKeyStore, um den benutzerdefinierten Schlüsselspeicher von seinem Cluster zu trennen. AWS CloudHSM Ersetzen Sie die Beispiel-ID des benutzerdefinierten Schlüsselspeichers, cks-1234567890abcdef0, durch eine tatsächliche ID.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Im ersten Beispiel wird verwendetUpdateCustomKeyStore, um den Anzeigenamen des -AWS CloudHSMSchlüsselspeichers in zu ändernDevelopmentKeys. Der Befehl verwendet den Parameter CustomKeyStoreId, um den AWS CloudHSM-Schlüsselspeicher zu identifizieren, und den Parameter CustomKeyStoreName, um den neuen Namen für den benutzerdefinierten Schlüsselspeicher anzugeben.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

Im folgenden Beispiel wird der mit einem AWS CloudHSM-Schlüsselspeicher verknüpfte Cluster in eine andere Sicherung desselben Clusters geändert. Der Befehl verwendet den Parameter CustomKeyStoreId, um den AWS CloudHSM-Schlüsselspeicher zu identifizieren, und den Parameter CloudHsmClusterId, um die neue Cluster-ID anzugeben. 

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

Im folgenden Beispiel wird AWS KMS mitgeteilt, dass das aktuelle kmsuser-Passwort ExamplePassword lautet. Der Befehl verwendet den Parameter CustomKeyStoreId, um den AWS CloudHSM-Schlüsselspeicher zu identifizieren, und den Parameter KeyStorePassword, um das aktuelle Passwort anzugeben.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

Der letzte Befehl stellt die Verbindung des AWS CloudHSM-Schlüsselspeichers mit seinem AWS CloudHSM-Cluster wieder her. Sie können den benutzerdefinierten Schlüsselspeicher im getrennten Status belassen. Sie müssen die Verbindung jedoch wiederherstellen, bevor Sie neue KMS-Schlüssel erstellen oder vorhandene KMS-Schlüssel für kryptografische Operationen verwenden können. Ersetzen Sie die Beispiel-ID des benutzerdefinierten Schlüsselspeichers durch eine tatsächliche ID.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0