Modification des paramètres de magasin de clés personnalisé - AWS Key Management Service

Modification des paramètres de magasin de clés personnalisé

Vous pouvez modifier les paramètres d'un magasin de clés personnalisé. Le magasin de clés personnalisé doit être déconnecté de son cluster AWS CloudHSM.

Pour modifier les paramètres d'un magasin de clés personnalisé :

  1. Déconnectez le magasin de clés personnalisé de son cluster AWS CloudHSM. Même si le magasin de clés personnalisé est déconnecté, vous ne pouvez pas créer de AWS KMS keys (clés KMS) dans le magasin de clés personnalisé et vous ne pouvez pas utiliser les clés KMS qu'il contient pour les opérations de chiffrement.

  2. Modifiez un ou plusieurs paramètres du magasin de clés personnalisé.

  3. Reconnectez le magasin de clés personnalisé à son cluster AWS CloudHSM.

Vous pouvez modifier les paramètres suivants d'un magasin de clés personnalisé :

Le nom convivial du magasin de clés personnalisé.

Entrez un nouveau nom convivial. Le nouveau nom doit être unique dans votre Compte AWS.

L'ID de cluster du cluster AWS CloudHSM associé.

Modifiez cette valeur pour remplacer un cluster AWS CloudHSM associé par celui d'origine. Vous pouvez utiliser cette fonction pour réparer un magasin de clés personnalisé si son cluster AWS CloudHSM devient corrompu ou est supprimé.

Spécifiez un cluster AWS CloudHSM qui partage un historique des sauvegardes avec le cluster d'origine et répond aux exigences d'association à un magasin de clés personnalisé, y compris deux modules HSM actifs dans différentes zones de disponibilité. Les clusters qui partagent un historique des sauvegardes historique ont le même certificat de cluster. Pour afficher le certificat de cluster d'un cluster, utilisez l'opération DescribeClusters. Vous ne pouvez pas utiliser la fonctionnalité de modification pour associer le magasin de clés personnalisé à un cluster AWS CloudHSM sans relation.

Mot de passe actuel de l'kmsuser utilisateur de chiffrement (CU).

Indique à AWS KMS le mot de passe actuel de l'utilisateur de chiffrement kmsuser dans le cluster AWS CloudHSM. Cette action ne permet pas de modifier le mot de passe de l'utilisateur de chiffrement kmsuser dans le cluster AWS CloudHSM.

Si vous modifiez le mot de passe de l'utilisateur de chiffrement (CU) kmsuser dans le cluster AWS CloudHSM, utilisez cette fonctionnalité pour informer AWS KMS du nouveau mot de passe de kmsuser. Dans le cas contraire, AWS KMS peut pas se connecter au cluster et toutes les tentatives pour connecter le magasin de clés personnalisé au cluster échouent.

Modifier un magasin de clés personnalisé (console)

Lorsque vous modifiez le magasin de clés personnalisé, vous pouvez modifier une ou plusieurs des valeurs configurables.

  1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms

  2. Pour changer de Région AWS, utilisez Region selector (Sélecteur de Région) dans l'angle supérieur droit de la page.

  3. Dans le panneau de navigation, choisissez Custom key stores (Magasins de clés personnalisés).

  4. Choisissez le magasin de clés personnalisé que vous voulez modifier.

  5. Si la valeur de la colonne Status n'est pas DISCONNECTED, vous devez déconnecter le magasin de clés personnalisé avant de pouvoir le modifier. Depuis le menu Actions du magasin de clés, sélectionnez Déconnexion d'un magasin de clés personnalisé.

  6. Depuis le menu Actions du magasin de clés, sélectionnez Modifier les paramètres d'un magasin de clés personnalisé.

  7. Effectuez une ou plusieurs des actions suivantes :

    • Entrez un nouveau nom convivial pour le magasin de clés personnalisé.

    • Entrez l'ID de cluster d'un cluster AWS CloudHSM associé.

    • Saisissez le mot de passe de l'utilisateur du chiffrement kmsuser dans le cluster AWS CloudHSM associé.

  8. Choisissez Enregistrer.

    Quand la procédure est réussie, un message décrit les paramètres que vous avez modifiés. Si elle ne réussit pas, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez Dépannage d'un magasin de clés personnalisé.

  9. Reconnectez le magasin de clés personnalisé.

    Pour utiliser le magasin de clés personnalisé, vous devez le reconnecter après la modification. Vous pouvez laisser le magasin de clés personnalisé déconnecté. Mais, bien qu'il soit déconnecté, vous ne pouvez pas créer de clés KMS dans magasin de clés personnalisé ou utiliser les clés KMS du magasin de clés personnalisé pour les opérations de chiffrement.

Modifier un magasin de clés personnalisé (API)

Pour modifier les propriétés d'un magasin de clés personnalisé, utilisez l'opération UpdateCustomKeyStore. Vous pouvez modifier plusieurs propriétés d'un magasin de clés personnalisé dans la même commande. Si l'opération aboutit, AWS KMS renvoie une réponse HTTP 200 et un objet JSON sans propriétés.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Commencez par utiliser DisconnectCustomKeyStore pour déconnecter le magasin de clés personnalisé de AWS KMS. Remplacez l'exemple d'ID de magasin de clés personnalisé, cks-1234567890abcdef0, par un ID réel.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Le premier exemple utilise UpdateCustomKeyStore pour modifier le nom convivial du magasin de clés personnalisé en DevelopmentKeys. La commande utilise le paramètre CustomKeyStoreId pour identifier le magasin de clés personnalisé et le paramètre CustomKeyStoreName pour spécifier le nouveau nom du magasin de clés personnalisé.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

L'exemple suivant remplace le cluster associé à un magasin de clés personnalisé par une autre sauvegarde du même cluster. La commande utilise le paramètre CustomKeyStoreId pour identifier le magasin de clés personnalisé et le paramètre CloudHsmClusterId pour spécifier le nouvel ID de cluster.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

L'exemple suivant indique à AWS KMS que le mot de passe de kmsuser est ExamplePassword. La commande utilise le paramètre CustomKeyStoreId pour identifier le magasin de clés personnalisé et le paramètre KeyStorePassword pour spécifier le mot de passe actuel.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

La dernière commande reconnecte le magasin de clés personnalisé à AWS KMS. Vous pouvez laisser le magasin de clés personnalisé à l'état déconnecté, mais vous devez le connecter avant de pouvoir créer des clés KMS ou d'utiliser les clés KMS existantes pour les opérations de chiffrement. Remplacez l'exemple d'ID de magasin de clés personnalisé par un ID réel.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0