Editar as configurações do armazenamento de chaves personalizado - AWS Key Management Service

Editar as configurações do armazenamento de chaves personalizado

Você pode alterar as configurações de um armazenamento de chaves personalizado existente. O armazenamento de chaves personalizado deve ser desconectado do cluster do AWS CloudHSM.

Como editar as configurações de armazenamento de chaves personalizado:

  1. Desconectar o armazenamento de chaves personalizado do cluster do AWS CloudHSM. Enquanto o armazenamento de chaves personalizado estiver desconectado, não é possível criar AWS KMS keys (chaves do KMS) nele nem usar as chaves do KMS que ele contém para operações de criptografia.

  2. Editar uma ou mais das configurações do armazenamento de chaves personalizado.

  3. Reconectar o armazenamento de chaves personalizado ao cluster do AWS CloudHSM.

Você pode editar as seguintes configurações em um armazenamento de chaves personalizado:

O nome amigável do armazenamento de chaves personalizado.

Inserir um novo nome amigável. O novo nome deve ser exclusivo na sua Conta da AWS.

O ID de cluster do cluster do AWS CloudHSM associado.

Editar esse valor para substituir um cluster de AWS CloudHSM relacionado para o original. Você poderá usar esse recurso para reparar um armazenamento de chaves personalizado caso o seu cluster do AWS CloudHSM seja corrompido ou excluído.

Especifique um cluster do AWS CloudHSM que compartilha um histórico de backup com o cluster original e cumpre os requisitos de associação com um armazenamento de chaves personalizado, incluindo dois HSMs ativos em diferentes zonas de disponibilidade. Os clusters que compartilham um histórico de backup têm o mesmo certificado do cluster. Para visualizar o certificado de cluster de um cluster, use a operação DescribeClusters. Você não pode usar o recurso de edição para associar o armazenamento de chaves personalizado a um cluster do AWS CloudHSM não relacionado.

A senha atual do kmsuser usuário de criptografia (CU).

Informa ao AWS KMS a senha atual do CU kmsuser no cluster do AWS CloudHSM. Essa ação não altera a senha do CU kmsuser no cluster do AWS CloudHSM.

Se você alterar a senha do CU kmsuser no cluster do AWS CloudHSM, use esse recurso para informar ao AWS KMS a nova senha kmsuser. Caso contrário, o AWS KMS não poderá fazer login no cluster, e todas as tentativas de conectar o armazenamento de chaves personalizado ao cluster falham.

Editar um armazenamento de chaves personalizado (console)

Ao editar o armazenamento de chaves personalizado, você pode alterar qualquer um ou todos os valores configuráveis.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. No painel de navegação à esquerda, selecione Custom key stores (Armazenamentos de chaves personalizados).

  4. Escolha o armazenamento de chaves personalizado que você deseja editar.

  5. Se o valor na coluna Status não é DISCONNECTED (DESCONECTADO), você deve desconectar o armazenamento de chaves personalizado para editá-lo. No menu Key store actions (Ações do armazenamento de chaves), selecione Disconnect custom key store (Desconectar o armazenamento de chaves personalizado).

  6. No menu Key store actions (Ações do armazenamento de chaves), selecione Edit custom key store settings (Editar as configurações de armazenamento de chaves personalizado).

  7. Faça uma ou mais das ações a seguir.

    • Digite um novo nome amigável para o armazenamento de chaves personalizado.

    • Digite o ID de cluster de um cluster do AWS CloudHSM associado.

    • Digite a senha atual do usuário de criptografia kmsuser no cluster do AWS CloudHSM associado.

  8. Escolha Save (Salvar).

    Se o procedimento for bem-sucedido, uma mensagem descreverá as configurações que você editou. Se for malsucedido, será exibida uma mensagem de erro descrevendo o problema e fornecendo ajuda para corrigi-lo. Se precisar de ajuda adicional, consulte Solucionar problemas de um armazenamento de chaves personalizado.

  9. Reconecte o armazenamento de chaves personalizado.

    Para usar o armazenamento de chaves personalizado, você deve reconectá-lo após a edição. Você pode deixar o armazenamento de chaves personalizado desconectado. Porém, enquanto estiver desconectado, não é possível criar as chaves do KMS no armazenamento de chaves personalizado nem usá-las no armazenamento de chaves personalizado em operações de criptografia.

Editar um armazenamento de chaves personalizado (API)

Para alterar as propriedades de um armazenamento de chaves personalizado, use a operação UpdateCustomKeyStore. Você pode alterar várias propriedades de um armazenamento de chaves personalizado no mesmo comando. Se a operação tiver êxito, o AWS KMS retornará uma resposta HTTP 200 e um objeto JSON sem propriedades.

Os exemplos nesta seção usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

Comece usando DisconnectCustomKeyStore para desconectar o armazenamento de chaves personalizado do AWS KMS. Substitua o exemplo de ID de armazenamento de chaves personalizado, cks-1234567890abcdef0, por um ID real.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

O primeiro exemplo usa UpdateCustomKeyStore para alterar o nome amigável do armazenamento de chaves personalizado por DevelopmentKeys. O comando usa o parâmetro CustomKeyStoreId para identificar o armazenamento de chaves personalizado e CustomKeyStoreName para especificar o novo nome para o armazenamento de chaves personalizado.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

O exemplo a seguir altera o cluster associado a um armazenamento de chaves personalizado por outro backup do mesmo cluster. O comando usa o parâmetro CustomKeyStoreId para identificar o armazenamento de chaves personalizado e o parâmetro CloudHsmClusterId para especificar o novo ID do cluster.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

O exemplo a seguir mostra ao AWS KMS que a senha kmsuser atual é ExamplePassword. O comando usa o parâmetro CustomKeyStoreId para identificar o armazenamento de chaves personalizado e o parâmetro KeyStorePassword para especificar a senha atual.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

O comando final reconecta o armazenamento de chaves personalizado ao AWS KMS. É possível deixar o armazenamento de chaves personalizado no estado desconectado, mas ele precisa estar conectado para que seja possível criar chaves do KMS ou usar as chaves do KMS existentes para operações de criptografia. Substitua o ID de exemplo do armazenamento de chaves personalizado por um ID real.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0