カスタムキーストア設定の編集 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタムキーストア設定の編集

既存のカスタムキーストアの設定を変更することができます。カスタムキーストアは AWS CloudHSM クラスターから切断されている必要があります。

カスタムキーストア設定を編集するには:

  1. カスタムキーストアを切断します。からAWS CloudHSMクラスター カスタムキーストアが切断されているときは、カスタムキーストアでカスタマーマスターキー (CMK) を作成したり、含まれている CMK を暗号化オペレーションで使用したりすることはできません。

  2. 1 つ以上のカスタムキーストア設定を編集します。

  3. カスタムキーストアを再接続するそのAWS CloudHSMクラスター

カスタムキーストアで次の設定を編集できます。

カスタムキーストアのわかりやすい名前。

新しい分かりやすい名前を入力します。新しい名前は AWS アカウント 。

関連付け済みの AWS CloudHSM クラスターのクラスター ID。

この値を編集して、関連する AWS CloudHSM クラスターを元のクラスターと置き換えます。この機能を使用して、AWS CloudHSM クラスターが破損した場合、または削除された場合にカスタムキーストアを修復できます。

[] を指定します。AWS CloudHSM元のクラスターとバックアップ履歴を共有するクラスターと要件を満たすカスタムキーストアとの関連付けのため (異なるアベイラビリティーゾーンにある 2 つのアクティブな HSM) を使用します。バックアップ履歴を共有するクラスターには同じクラスター証明書があります。クラスターのクラスター証明書を表示するには、 DescribeClusters 操作を使用します。編集機能を使用してカスタムキーストアを無関係な AWS CloudHSM クラスターと関連付けることはできません。

kmsuser 暗号化ユーザー (CU) の現在のパスワード。

AWS CloudHSM クラスター内の kmsuser CU の現在のパスワードを AWS KMS に伝えます。このアクションでは、AWS CloudHSM クラスター内の kmsuser CU のパスワードは変更されません。

AWS CloudHSM クラスター内の kmsuser CU のパスワードを変更する場合は、この機能を使用して、AWS KMS に 新しい kmsuser のパスワードを指定します。それ以外の場合、AWS KMS はクラスターにログインできず、カスタムキーストアをクラスターに接続しようとするすべての試行は失敗します。

カスタムキーストアを編集する (コンソール)

カスタムキーストアを編集すると、設定可能な任意の値を変更することができます。

  1. にサインインします。AWS Management Console[(マテリアルマテリアル)AWS Key Management Service(AWS KMS) コンソールhttps://console.aws.amazon.com/kms

  2. を変更するにはAWSリージョンを使用するには、ページの右上隅にある [リージョンセレクター] を使用します。

  3. ナビゲーションペインで、[Custom key stores (カスタムキーストア)] を選択します。

  4. 編集するカスタムキーストアを選択します。

  5. [ステータス] 列の値が DISCONNECTED ではない場合、編集する前にカスタムキーストアを切断する必要があります。[Key store actions (キーストアのアクション)] メニューで、[Disconnect custom key store (カスタムキーストアの切断)] を選択します。

  6. [Key store actions (キーストアのアクション)] メニューで、[Edit custom key store (カスタムキーストアの編集)] を選択します。

  7. 次のいずれかのアクションを実行します。

    • カスタムキーストアの新しいわかりやすい名前を入力します。

    • 関連する AWS CloudHSM クラスターのクラスター ID を入力します。

    • 関連付けられた AWS CloudHSM クラスターに kmsuser 暗号化ユーザーの現在のパスワードを入力します。

  8. [Save] を選択します。

    プロシージャが正常に完了すると、編集した設定を説明するメッセージが表示されます。正常に行われなかった場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「」を参照してください カスタムキーストアのトラブルシューティング

  9. カスタムキーストアを再接続します。

    カスタムキーストアを使用するには、編集後に再接続する必要があります。カスタムキーストアは切断されたままにすることができます。ただし、切断されている間は、カスタムキーストアで CMK を作成したり、暗号化オペレーションでカスタムキーストア内の CMK を使用したりすることはできません。

カスタムキーストアを編集する (API)

カスタムキーストアのプロパティを変更するには、 UpdateCustomKeyStore 操作を使用します。同じコマンドで、カスタムキーストアの複数のプロパティを変更できます。オペレーションが成功した場合は、AWS KMSHTTP 200 レスポンスとプロパティを含まない JSON オブジェクトを返します。

このセクションの例ではAWS Command Line Interface(AWS CLI)ただし、サポートされている任意のプログラミング言語を使用できます。

以下を使用します。DisconnectCustomKeyStoreカスタムキーストアを切断します。送信元AWS KMS。例のカスタムキーストア ID cks-1234567890abcdef0 を実際の ID に置き換えます。

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

最初の例では、 UpdateCustomKeyStore を使用して、カスタムキーストアのフレンドリ名をに変更します DevelopmentKeys。このコマンドでは、CustomKeyStoreId パラメータを使用してカスタムキーストアを識別し、CustomKeyStoreName でカスタムキーストアの新しい名前を指定します。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

次の例では、クラスターに関連付けられているカスタムキーストアを同じクラスターの別のバックアップに保存します。このコマンドでは、CustomKeyStoreId パラメータを使用してカスタムキーストアを識別し、CloudHsmClusterId パラメータで新しいクラスター ID を指定します。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

次の例では、AWS KMS に現在の kmsuser のパスワードは ExamplePassword であると伝えます。このコマンドでは、CustomKeyStoreId パラメータを使用してカスタムキーストアを識別し、KeyStorePassword パラメータで現在のパスワードを指定します。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

最後のコマンドはカスタムキーストアを AWS KMS に再接続します。カスタムキーストアは切断された状態のままにできますが、新しい CMK を作成したり、暗号化オペレーションで既存の CMK を使用したりする前に接続する必要があります。カスタムキーストア ID 例を実際の ID と置き換えます。

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0