翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudHSM キーストア設定の編集
既存の AWS CloudHSM キーストアの設定は、変更できます。カスタムキーストアは、AWS CloudHSM クラスターから切断されている必要があります。
AWS CloudHSM キーストア設定を編集するには:
-
カスタムキーストアの AWS CloudHSM クラスターから、カスタムキーストアを切断します。カスタムキーストアが切断されている間は、カスタムキーストアで AWS KMS keys (KMS キー) を作成したり、暗号化オペレーション用に含められている KMS キーを使用したりすることはできません。
-
1 つ以上の AWS CloudHSM キーストア設定を編集します。
カスタムキーストアで次の設定を編集できます。
- カスタムキーストアのわかりやすい名前。
-
新しい分かりやすい名前を入力します。新しい名前は、AWS アカウント 内のすべてのカスタムキーストアの間で一意でなければなりません。
重要
このフィールドには、機密情報や重要情報を含めないでください。このフィールドは、 CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。
- 関連付け済みの AWS CloudHSM クラスターのクラスター ID。
-
この値を編集して、関連する AWS CloudHSM クラスターを元のクラスターと置き換えます。この機能を使用して、AWS CloudHSM クラスターが破損した場合、または削除された場合にカスタムキーストアを修復できます。
元のクラスターとバックアップ履歴を共有する AWS CloudHSM クラスターを指定して、異なるアベイラビリティーゾーンの 2 つのアクティブな HSM を含むカスタムキーストアとの関連付けの要件を満たします。バックアップ履歴を共有するクラスターには同じクラスター証明書があります。クラスターのクラスター証明書を表示するには、 DescribeClustersオペレーションを使用します。編集機能を使用してカスタムキーストアを無関係な AWS CloudHSM クラスターと関連付けることはできません。
- kmsuser Crypto User (CU) の現在のパスワード。
-
AWS CloudHSM クラスター内の
kmsuserCU の現在のパスワードを AWS KMS に伝えます。このアクションでは、AWS CloudHSM クラスター内のkmsuserCU のパスワードは変更されません。AWS CloudHSM クラスター内の
kmsuserCU のパスワードを変更する場合は、この機能を使用して、AWS KMS に 新しいkmsuserのパスワードを指定します。それ以外の場合、AWS KMS はクラスターにログインできず、カスタムキーストアをクラスターに接続しようとするすべての試行は失敗します。
AWS CloudHSM キーストアを編集する (コンソール)
AWS CloudHSM キーストアを編集すると、設定可能な任意の値を変更できます。
-
AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms
) を開きます。 -
AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。
-
ナビゲーションペインで、[カスタムキーストア]、[AWS CloudHSM キーストア] の順に選択します。
-
編集する AWS CloudHSM キーストアの行を選択します。
[接続の状態] 列の値が [切断済み] になっていない場合は、カスタムキーストアを切断してから編集する必要があります。([Key store actions] (キーストアアクション) メニューから [Disconnect] (切断) を選択します)。
AWS CloudHSM キーストアが切断されている間は AWS CloudHSM キーストアとその KMS キーを管理できますが、AWS CloudHSM キーストアで KMS キーを作成または使用することはできません。
-
[Key store actions] (キーストアアクション) メニューから [Edit] (編集) を選択します。
-
次のいずれかのアクションを実行します。
-
カスタムキーストアの新しいわかりやすい名前を入力します。
-
関連する AWS CloudHSM クラスターのクラスター ID を入力します。
-
関連付けられた AWS CloudHSM クラスターに
kmsuser暗号化ユーザーの現在のパスワードを入力します。
-
-
[保存] を選択します。
プロシージャが正常に完了すると、編集した設定を説明するメッセージが表示されます。正常に行われなかった場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「カスタムキーストアのトラブルシューティング」を参照してください。
-
AWS CloudHSM キーストアを使用するときは、編集後にこれを再接続する必要があります。AWS CloudHSM キーストアは切断されたままにすることができます。ただし、切断されている間は、AWS CloudHSM キーストアで KMS キーを作成したり、暗号化オペレーションで AWS CloudHSM キーストア内の KMS キーを使用したりすることはできません。
AWS CloudHSM キーストアを編集する (API)
AWS CloudHSM キーストアのプロパティを変更するには、 UpdateCustomKeyStoreオペレーションを使用します。同じコマンドで、カスタムキーストアの複数のプロパティを変更できます。オペレーションが成功すると、AWS KMS は HTTP 200 レスポンスおよびプロパティなしの JSON オブジェクトを返します。変更が有効であることを確認するには、 DescribeCustomKeyStoresオペレーションを使用します。
このセクションの例では AWS Command Line Interface (AWS CLI)
まずDisconnectCustomKeyStore、 を使用してカスタムキーストアをクラスターから切断します。 AWS CloudHSM例のカスタムキーストア ID cks-1234567890abcdef0 を実際の ID に置き換えます。
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
最初の例では、 を使用してAWS CloudHSMキーストアのフレンドリ名を UpdateCustomKeyStoreに変更しますDevelopmentKeys。このコマンドでは、CustomKeyStoreId パラメータを使用して AWS CloudHSM キーストアを識別し、CustomKeyStoreName でカスタムキーストアの新しい名前を指定します。
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0--new-custom-key-store-nameDevelopmentKeys
次の例では、AWS CloudHSM に関連付けられたクラスターを、同じクラスターの別のバックアップに変更します。このコマンドでは、CustomKeyStoreId パラメータを使用して AWS CloudHSM キーストアを識別し、CloudHsmClusterId パラメータで新しいクラスター ID を指定します。
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0--cloud-hsm-cluster-idcluster-1a23b4cdefg
次の例では、AWS KMS に現在の kmsuser のパスワードは ExamplePassword であると伝えます。このコマンドでは、CustomKeyStoreId パラメータを使用して AWS CloudHSM キーストアを識別し、KeyStorePassword パラメータで現在のパスワードを指定します。
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0--key-store-passwordExamplePassword
最後のコマンドは、AWS CloudHSM キーストアを AWS CloudHSM クラスターに再接続します。カスタムキーストアは切断された状態のままにできますが、新しい KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする前に接続する必要があります。カスタムキーストア ID 例を実際の ID と置き換えます。
$aws kms connect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
