Modifica delle impostazioni di un archivio delle chiavi di AWS CloudHSM - AWS Key Management Service
Modifica di un archivio delle chiavi di AWS CloudHSM (console)Modifica di un archivio delle chiavi di AWS CloudHSM (API)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Modifica delle impostazioni di un archivio delle chiavi di AWS CloudHSM

Puoi modificare le impostazioni di un archivio delle chiavi di AWS CloudHSM esistente. L'archivio delle chiavi personalizzate deve essere disconnesso dal relativo cluster AWS CloudHSM.

Per modificare le impostazioni di un archivio delle chiavi di AWS CloudHSM:

  1. Disconnettere lo store delle chiavi personalizzate dal relativo cluster AWS CloudHSM. Quando l'archivio delle chiavi personalizzate è disconnesso, non è possibile creare AWS KMS keys (chiavi KMS) nell'archivio né utilizzare le chiavi KMS che contiene per le operazioni di crittografia.

  2. Modifica una o più impostazioni relative all'archivio delle chiavi di AWS CloudHSM.

  3. Riconnettere lo store delle chiavi personalizzate al relativo cluster AWS CloudHSM.

Puoi modificare le impostazioni seguenti in uno store delle chiavi personalizzate:

Il nome descrittivo dello store delle chiavi personalizzate

Immetti un nuovo nome descrittivo. Il nuovo nome deve essere univoco per tutti gli archivi delle chiavi personalizzate presenti nel tuo Account AWS.

Importante

Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei CloudTrail log e in altri output.

L'ID cluster del cluster AWS CloudHSM associato

Modifica questo valore per sostituire il cluster originale con un cluster AWS CloudHSM correlato. Puoi utilizzare questa funzionalità per riparare uno store delle chiavi personalizzate se il relativo cluster AWS CloudHSM è danneggiato o è stato eliminato.

Specifica un cluster AWS CloudHSM che condivide una cronologia dei backup con il cluster originale e soddisfa i requisiti per l'associazione con uno store delle chiavi personalizzate, tra cui due HSM attivi in zone di disponibilità differenti. I cluster che condividono una cronologia dei backup hanno lo stesso certificato di cluster. Per visualizzare il certificato del cluster di un cluster, utilizzare l'operazione. DescribeClusters Non puoi utilizzare la funzionalità di modifica per associare lo store delle chiavi personalizzate a un cluster AWS CloudHSM non correlato.

La password corrente del crypto user (CU) kmsuser

Segnala a AWS KMS la password corrente dell'utente di crittografia kmsuser nel cluster AWS CloudHSM. Questa operazione non modifica la password dell'utente di crittografia kmsuser nel cluster AWS CloudHSM.

Se modifichi la password dell'utente di crittografia kmsuser nel cluster AWS CloudHSM, utilizza questa funzionalità per segnalare a AWS KMS la nuova password kmsuser. In caso contrario, AWS KMS non può accedere al cluster e tutti i tentativi di connessione dello store delle chiavi personalizzate al cluster hanno esito negativo.

Modifica di un archivio delle chiavi di AWS CloudHSM (console)

Quando modifichi un archivio delle chiavi di AWS CloudHSM, puoi modificare qualsiasi valore configurabile.

  1. Accedi alla AWS Management Console e apri la console AWS Key Management Service (AWS KMS) all'indirizzo https://console.aws.amazon.com/kms.

  2. Per modificare la Regione AWS, utilizza il Selettore di regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Archivi di chiavi personalizzate, Archivi di chiavi AWS CloudHSM.

  4. Scegli la riga relativa all'archivio delle chiavi di AWS CloudHSM che vuoi modificare.

    Se il valore nella colonna Stato connessione non è Disconnesso, devi scollegare l'archivio di chiavi personalizzate per poterlo modificare. Dal menu Key store actions (Operazioni per l'archivio delle chiavi), scegli Disconnect (Disconnetti).

    Quando un archivio delle chiavi di AWS CloudHSM è disconnesso, puoi gestire l'archivio delle chiavi di AWS CloudHSM e le relative chiavi KMS, ma non puoi creare o utilizzare le chiavi KMS nell'archivio delle chiavi di AWS CloudHSM.

  5. Dal menu Key store actions (Operazioni per l'archivio delle chiavi), scegli Edit (Modifica).

  6. Effettuare una o più delle operazioni seguenti.

    • Digitare un nuovo nome descrittivo per lo store delle chiavi personalizzate.

    • Digitare l'ID cluster di un cluster AWS CloudHSM correlato.

    • Digitare la password corrente del crypto user (CU) kmsuser nel cluster AWS CloudHSM associato.

  7. Selezionare Salva.

    Se la procedura ha esito positivo, un messaggio descrive le impostazioni modificate. Se ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta Risoluzione di problemi relativi a store delle chiavi personalizzate.

  8. Riconnettere lo store delle chiavi personalizzate.

    Per utilizzare l'archivio delle chiavi di AWS CloudHSM, devi riconnetterlo dopo la modifica. Puoi lasciare disconnesso l'archivio delle chiavi di AWS CloudHSM, tuttavia, durante la disconnessione, non puoi creare chiavi KMS nell'archivio delle chiavi di AWS CloudHSM o utilizzare le chiavi KMS nell'archivio delle chiavi di AWS CloudHSM per operazioni di crittografia.

Modifica di un archivio delle chiavi di AWS CloudHSM (API)

Per modificare le proprietà di un archivio di AWS CloudHSM chiavi, utilizzare l'UpdateCustomKeyStoreoperazione. Puoi modificare più proprietà di un store delle chiavi personalizzate nello stesso comando. Se l'operazione ha esito positivo, AWS KMS restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà. Per verificare che le modifiche siano effettive, utilizzate l'DescribeCustomKeyStoresoperazione.

Gli esempi in questa sezione utilizzano AWS Command Line Interface (AWS CLI), ma puoi usare anche qualsiasi linguaggio di programmazione supportato.

Inizia a utilizzare DisconnectCustomKeyStoreper disconnettere l'archivio di chiavi personalizzato dal relativo AWS CloudHSM cluster. Sostituisci l'ID archivio chiavi personalizzate di esempio, cks-1234567890abcdef0, con un ID effettivo.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Il primo esempio utilizza UpdateCustomKeyStoreper modificare il nome descrittivo del AWS CloudHSM key store inDevelopmentKeys. Il comando utilizza il parametro CustomKeyStoreId per identificare l'archivio delle chiavi di AWS CloudHSM e CustomKeyStoreName per specificarne il nuovo nome.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

L'esempio seguente modifica il cluster associato a un archivio delle chiavi di AWS CloudHSM in un altro backup dello stesso cluster. Il comando utilizza il parametro CustomKeyStoreId per identificare l'archivio delle chiavi di AWS CloudHSM e il parametro CloudHsmClusterId per specificarne il nuovo ID cluster. 

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

L'esempio seguente segnala a AWS KMS che la password kmsuser corrente è ExamplePassword. Il comando utilizza il parametro CustomKeyStoreId per identificare l'archivio delle chiavi di AWS CloudHSM e il parametro KeyStorePassword per specificare la password corrente.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

Il comando finale riconnette l'archivio delle chiavi di AWS CloudHSM al relativo cluster AWS CloudHSM. Puoi lasciare l'archivio delle chiavi personalizzate disconnesso, ma devi connetterlo per poter creare nuove chiavi KMS o utilizzare le chiavi KMS esistenti per operazioni di crittografia. Sostituisci l'ID store chiavi personalizzate di esempio con un ID effettivo.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0