Modifier les paramètres d'un magasin de clés AWS CloudHSM - AWS Key Management Service
Modifier un magasin de clés AWS CloudHSM (console)Modifier un magasin de clés AWS CloudHSM (API)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Modifier les paramètres d'un magasin de clés AWS CloudHSM

Vous pouvez modifier les paramètres d'un magasin de clés AWS CloudHSM existant. Le magasin de clés personnalisé doit être déconnecté de son cluster AWS CloudHSM.

Pour modifier les paramètres du magasin de clés AWS CloudHSM :

  1. Déconnectez le magasin de clés personnalisé de son cluster AWS CloudHSM. Même si le magasin de clés personnalisé est déconnecté, vous ne pouvez pas créer de AWS KMS keys (clés KMS) dans le magasin de clés personnalisé et vous ne pouvez pas utiliser les clés KMS qu'il contient pour les opérations de chiffrement.

  2. Modifiez un ou plusieurs paramètres du magasin de clés AWS CloudHSM.

  3. Reconnectez le magasin de clés personnalisé à son cluster AWS CloudHSM.

Vous pouvez modifier les paramètres suivants d'un magasin de clés personnalisé :

Le nom convivial du magasin de clés personnalisé.

Entrez un nouveau nom convivial. Le nouveau nom doit être unique parmi tous vos magasins de clés personnalisés de votre Compte AWS.

Important

N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.

L'ID de cluster du cluster AWS CloudHSM associé.

Modifiez cette valeur pour remplacer un cluster AWS CloudHSM associé par celui d'origine. Vous pouvez utiliser cette fonction pour réparer un magasin de clés personnalisé si son cluster AWS CloudHSM devient corrompu ou est supprimé.

Spécifiez un cluster AWS CloudHSM qui partage un historique des sauvegardes avec le cluster d'origine et répond aux exigences d'association à un magasin de clés personnalisé, y compris deux modules HSM actifs dans différentes zones de disponibilité. Les clusters qui partagent un historique des sauvegardes historique ont le même certificat de cluster. Pour afficher le certificat de cluster d'un cluster, utilisez l'DescribeClustersopération. Vous ne pouvez pas utiliser la fonctionnalité de modification pour associer le magasin de clés personnalisé à un cluster AWS CloudHSM sans relation.

Mot de passe actuel de l'kmsuser utilisateur de chiffrement (CU).

Indique à AWS KMS le mot de passe actuel de l'utilisateur de chiffrement kmsuser dans le cluster AWS CloudHSM. Cette action ne permet pas de modifier le mot de passe de l'utilisateur de chiffrement kmsuser dans le cluster AWS CloudHSM.

Si vous modifiez le mot de passe de l'utilisateur de chiffrement (CU) kmsuser dans le cluster AWS CloudHSM, utilisez cette fonctionnalité pour informer AWS KMS du nouveau mot de passe de kmsuser. Dans le cas contraire, AWS KMS peut pas se connecter au cluster et toutes les tentatives pour connecter le magasin de clés personnalisé au cluster échouent.

Modifier un magasin de clés AWS CloudHSM (console)

Lorsque vous modifiez un magasin de clés AWS CloudHSM, vous pouvez modifier une ou plusieurs des valeurs configurables.

  1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

  3. Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), AWS CloudHSM key stores (Magasins de clés).

  4. Sélectionnez la ligne du magasin de clés AWS CloudHSM que vous souhaitez modifier.

    Si la valeur de la colonne Status n'est pas Disconnected, vous devez déconnecter le magasin de clés personnalisé avant de pouvoir le modifier. (Dans le menu Key store actions (Actions de magasin de clés), choisissez Disconnect [Déconnecter].)

    Même si un magasin de clés AWS CloudHSM est déconnecté, vous pouvez gérer le magasin de clés AWS CloudHSM et ses clés KMS, mais vous ne pouvez pas créer ou utiliser des clés KMS dans le magasin de clés AWS CloudHSM.

  5. À partir du menu Key store actions (Actions de magasin de clés), choisissez Edit (Modifier).

  6. Effectuez une ou plusieurs des actions suivantes :

    • Entrez un nouveau nom convivial pour le magasin de clés personnalisé.

    • Entrez l'ID de cluster d'un cluster AWS CloudHSM associé.

    • Saisissez le mot de passe de l'utilisateur du chiffrement kmsuser dans le cluster AWS CloudHSM associé.

  7. Choisissez Enregistrer.

    Quand la procédure est réussie, un message décrit les paramètres que vous avez modifiés. Si elle ne réussit pas, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez Dépannage d'un magasin de clés personnalisé.

  8. Reconnectez le magasin de clés personnalisé.

    Pour utiliser le magasin de clés AWS CloudHSM, vous devez le reconnecter après la modification. Vous pouvez laisser le magasin de clés AWS CloudHSM déconnecté. Mais tant qu'il est déconnecté, vous ne pouvez pas créer de clés KMS dans le magasin de clés AWS CloudHSM ni utiliser les clés KMS du magasin de clés AWS CloudHSM dans des opérations cryptographiques.

Modifier un magasin de clés AWS CloudHSM (API)

Pour modifier les propriétés d'un magasin de AWS CloudHSM clés, utilisez l'UpdateCustomKeyStoreopération. Vous pouvez modifier plusieurs propriétés d'un magasin de clés personnalisé dans la même commande. Si l'opération aboutit, AWS KMS renvoie une réponse HTTP 200 et un objet JSON sans propriétés. Pour vérifier que les modifications sont effectives, utilisez l'DescribeCustomKeyStoresopération.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Commencez par utiliser DisconnectCustomKeyStorepour déconnecter le magasin de clés personnalisé de son AWS CloudHSM cluster. Remplacez l'exemple d'ID de magasin de clés personnalisé, cks-1234567890abcdef0, par un ID réel.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Le premier exemple utilise UpdateCustomKeyStorepour remplacer le nom convivial du magasin de AWS CloudHSM clés parDevelopmentKeys. La commande utilise le paramètre CustomKeyStoreId pour identifier le magasin de clés AWS CloudHSM et le paramètre CustomKeyStoreName pour spécifier le nouveau nom du magasin de clés personnalisé.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

L'exemple suivant remplace le cluster associé à un magasin de clés AWS CloudHSM par une autre sauvegarde du même cluster. La commande utilise le paramètre CustomKeyStoreId pour identifier le magasin de clés AWS CloudHSM et le paramètre CloudHsmClusterId pour spécifier le nouvel ID de cluster. 

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

L'exemple suivant indique à AWS KMS que le mot de passe de kmsuser est ExamplePassword. La commande utilise le paramètre CustomKeyStoreId pour identifier le magasin de clés AWS CloudHSM et le paramètre KeyStorePassword pour spécifier le mot de passe actuel.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

La commande finale reconnecte le magasin de clés AWS CloudHSM à son cluster AWS CloudHSM. Vous pouvez laisser le magasin de clés personnalisé à l'état déconnecté, mais vous devez le connecter avant de pouvoir créer des clés KMS ou d'utiliser les clés KMS existantes pour les opérations de chiffrement. Remplacez l'exemple d'ID de magasin de clés personnalisé par un ID réel.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0