사용자 지정 키 스토어 설정 편집

기존의 사용자 지정 키 스토어 설정을 변경할 수 있습니다. 사용자 지정 키 스토어는 AWS CloudHSM 클러스터에서 연결이 해제되어 있어야 합니다.

사용자 지정 키 스토어 설정을 편집하려면

1. 사용자 지정 키 스토어의 연결을 해제합니다.를 AWS CloudHSM 클러스터에서 제거합니다. 사용자 지정 키 스토어의 연결이 해제된 동안 사용자 지정 키 스토어에서 고객 마스터 키(CMK)를 생성할 수 없으며, 암호화 작업을 위해 포함하고 있는 CMK를 사용할 수 없습니다.

2. 하나 이상의 사용자 지정 키 스토어 설정을 편집합니다.

3. 사용자 지정 키 스토어를 다시 연결합니다.를 AWS CloudHSM 클러스터로 확장합니다.

사용자 지정 키 스토어에서 다음 설정을 편집할 수 있습니다.

기억하기 쉬운 사용자 지정 키 스토어 이름입니다.

기억하기 쉬운 이름을 새로 입력합니다. 새 이름은 AWS 계정 내에서 고유해야 합니다.

연결 AWS CloudHSM 클러스터의 클러스터 ID입니다.

원본의 관련 AWS CloudHSM 클러스터를 대체하려면 이 값을 편집합니다. AWS CloudHSM 클러스터가 손상되었거나 삭제된 경우, 이 기능을 사용해 사용자 지정 키 스토어를 복구할 수 있습니다.

원래 클러스터와 백업 기록을 공유하는 AWS CloudHSM 클러스터를 지정하고요구 사항을 충족합니다.는 서로 다른 가용 영역의 두 활성 HSM을 포함해 사용자 지정 키 스토어와의 연결을 지원합니다. 백업 기록을 공유하는 클러스터들은 동일한 클러스터 인증서를 가지고 있습니다. 클러스터의 클러스터 인증서를 보려면 DescribeClusters 작업을 사용합니다. 관련 없는 AWS CloudHSM 클러스터에 사용자 지정 키 스토어를 연결하기 위해 편집 기능을 사용할 수는 없습니다.

kmsuserCU(Crypto User)의 현재 암호입니다.

AWS KMS 에kmsuserAWS CloudHSM 클러스터의 CU를 생성합니다. 이 작업을 해도kmsuserAWS CloudHSM 클러스터의 CU를 생성합니다.

암호를 변경 하는 경우kmsuserAWS CloudHSM 클러스터의 CU를 사용하려면 이 기능을 사용해 AWS KMS 에 새로운kmsuserpassword 그렇지 않으면 AWS KMS 가 클러스터에 로그인을 할 수 없고, 사용자 지정 키 스토어를 클러스터에 연결하려는 모든 시도가 실패합니다.

사용자 지정 키 스토어 편집(콘솔)

사용자 지정 키 스토어를 편집할 때 구성 가능한 값에서 무엇이든 변경할 수 있습니다.

1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/kms에서 AWS Key Management Service(AWS KMS) 콘솔을 엽니다.

2. AWS 리전을 변경하려면 페이지의 오른쪽 상단에 있는 리전 선택기를 사용합니다.

3. 탐색 창에서 사용자 지정 키 스토어를 선택합니다.

4. 편집하고 싶은 사용자 지정 키 스토어를 선택합니다.

5. 상태 열의 값이 DISCONNECTED(연결 해제됨)가 아니면 먼저 사용자 지정 키 스토어의 연결을 해제해야 편집을 할 수 있습니다. Key store actions(키 스토어 작업) 메뉴에서 Disconnect custom key store(사용자 지정 키 스토어 연결 해제)를 선택합니다.

6. Key store actions(키 스토어 작업) 메뉴에서 Edit custom key store settings(사용자 지정 키 스토어 설정 편집)를 선택합니다.

7. 다음 작업 중 한 개 이상을 수행합니다.

   • 기억하기 쉬운 사용자 지정 키 스토어 이름을 새로 입력합니다.

   • 관련 AWS CloudHSM 클러스터의 클러스터 ID를 입력합니다.

   • 의 현재 암호를 입력합니다.kmsuserCU (Crypto User AWS CloudHSM 를 연결합니다.

8. 저장을 선택합니다.

   절차가 성공하면 편집한 설정을 설명하는 메시지가 표시됩니다. 절차가 실패하면 오류 메시지가 나타나서 문제를 설명하고 이를 수정할 수 있는 방법에 대한 도움말을 제공합니다. 도움이 더 필요한 경우 사용자 지정 키 스토어 문제 해결 단원을 참조하십시오.

9. 사용자 지정 키 스토어를 다시 연결합니다.

   사용자 지정 키 스토어를 사용하려면 편집 이후에 재연결을 해야 합니다. 사용자 지정 키 스토어를 연결이 해제된 상태로 남겨둘 수 있습니다. 하지만 연결이 해제되어 있는 동안에는 사용자 지정 키 스토어에서 CMK를 생성하거나, 암호화 작업에서 사용자 지정 키 스토어의 CMK를 사용할 수 없습니다.

사용자 지정 키 스토어 편집(API)

사용자 지정 키 스토어의 속성을 변경하려면 UpdateCustomKeyStore 작업을 사용합니다. 동일한 명령으로 사용자 지정 키 스토어에서 여러 개의 속성을 변경할 수 있습니다. 작업이 성공하지 않으면 AWS KMS 는 속성 없이 HTTP 200 응답 및 JSON 객체를 반환합니다.

이 단원의 예제에서는AWS 명령줄 인터페이스(AWS CLI)하지만, 사용자는 어떤 지원되는 프로그래밍 언어라도 사용할 수 있습니다.

를 사용하여 시작DisconnectCustomKeyStore아래로 변경합니다.사용자 지정 키 스토어의 연결을 해제합니다.AWS KMS 에서 제공합니다. 예제에 나온 사용자 지정 키 스토어 ID인 cks-1234567890abcdef0을 실제 ID로 대체합니다.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

첫 번째 예제에서 UpdateCustomKeyStore를 사용하여 기억하기 쉬운 사용자 지정 키 스토어의 이름을 DevelopmentKeys로 변경합니다. 이 명령은 CustomKeyStoreId 파라미터를 사용해 사용자 지정 키 스토어를 식별하고, CustomKeyStoreName 파라미터를 사용해 사용자 지정 키 스토어에서 새 이름을 지정합니다.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

다음 예에서는 사용자 지정 키 스토어에 연결된 클러스터를 같은 클러스터의 다른 백업으로 변경합니다. 이 명령은 CustomKeyStoreId 파라미터를 사용해 사용자 지정 키 스토어를 식별하고, CloudHsmClusterId 파라미터를 사용해 새 클러스터 ID를 지정합니다.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

다음 예제에서는 AWS KMS 에kmsuserpasswordExamplePassword를 선택합니다. 이 명령은 CustomKeyStoreId 파라미터를 사용해 사용자 지정 키 스토어를 식별하고, KeyStorePassword 파라미터를 사용해 현재 암호를 지정합니다.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

마지막 명령은 사용자 지정 키 스토어를 AWS KMS 에 다시 연결합니다. 사용자 지정 키 스토어를 연결 해제 상태로 남겨둘 수 있지만, 새 CMK를 생성하거나 기존 CMK를 암호화 작업에 사용할 수 있으려면 먼저 이를 연결해야 합니다. 예제에 나온 사용자 지정 키 스토어 ID를 실제 ID로 대체합니다.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0