中斷連接 AWS CloudHSM 金鑰存放區

當您中斷連接 AWS CloudHSM 金鑰存放區時， AWS KMS 會登出 AWS CloudHSM 用戶端、中斷與相關聯 AWS CloudHSM 叢集的連線，並移除建立來支援連線的網路基礎設施。

當 AWS CloudHSM 金鑰存放區中斷連線時，您可以管理 AWS CloudHSM 金鑰存放區及其KMS金鑰，但無法在 AWS CloudHSM 金鑰存放區中建立或使用KMS金鑰。金鑰存放區的連線狀態為，DISCONNECTED而自訂KMS金鑰存放區的金鑰狀態為 Unavailable，除非它們是 PendingDeletion。您可以隨時重新連接 AWS CloudHSM 金鑰存放區。

注意

AWS CloudHSM 只有在金鑰存放區從未連線或您明確中斷DISCONNECTED連線時，金鑰存放區才會有連線狀態。如果您的 AWS CloudHSM 金鑰存放區連線狀態為，CONNECTED但您使用它時遇到問題，請確定其關聯的 AWS CloudHSM 叢集處於作用中狀態，且至少包含一個作用中的 HSMs。如需連線失敗的協助，請參閱對自訂金鑰存放區進行故障診斷。

當您中斷連接自訂金鑰存放區時，金鑰存放區中的KMS金鑰會立即無法使用（取決於最終一致性）。不過，在再次KMS使用金鑰之前，使用受KMS金鑰保護的資料金鑰加密的資源不會受到影響，例如解密資料金鑰。此問題會影響 AWS 服務，其中許多服務會使用資料金鑰來保護您的資源。如需詳細資訊，請參閱無法使用的KMS金鑰如何影響資料金鑰。

注意

當自訂金鑰存放區中斷連線時，所有在自訂金鑰存放區中建立KMS金鑰或在密碼編譯操作中使用現有KMS金鑰的嘗試都會失敗。此動作可防止使用者存放和存取敏感資料。

為了更好地估算中斷連接自訂金鑰存放區的效果，請識別自訂金鑰存放區中的KMS金鑰，並判斷其過去使用的情況。

您可能會因為下列原因中斷連接 AWS CloudHSM 金鑰存放區：

為了輪換 kmsuser 密碼。 AWS KMS 會在每次連接到 AWS CloudHSM 叢集時變更 kmsuser 密碼。若要強制密碼輪換，只需中斷連接並重新連接。
稽核叢集中金鑰的金鑰材料。 KMS AWS CloudHSM 當您中斷連接自訂金鑰存放區時，會在 AWS CloudHSM 用戶端中 AWS KMS 登出kmsuser加密使用者帳戶。這可讓您以 CU kmsuser 身分登入叢集，並稽核和管理KMS金鑰的金鑰材料。
立即停用KMS金鑰存放區中的所有 AWS CloudHSM 金鑰。您可以使用 AWS Management Console 或 DisableKey操作，在KMS金鑰存放區中停用和重新啟用 AWS CloudHSM 金鑰。這些操作快速完成，但一次只能使用一個KMS金鑰。中斷連接 AWS CloudHSM 金鑰存放區會立即將金鑰存放區中 AWS CloudHSM 所有KMS金鑰的金鑰狀態變更為 Unavailable，這可防止在任何密碼編譯操作中使用金鑰存放區。
為了修復失敗的連接嘗試。如果嘗試連線 AWS CloudHSM 金鑰存放區失敗（自訂金鑰存放區的連線狀態為 FAILED），您必須先中斷連線 AWS CloudHSM 金鑰存放區，然後再嘗試再次連線。

中斷連接您的 AWS CloudHSM 金鑰存放區

您可以在 AWS KMS 主控台或使用 DisconnectCustomKeyStore操作中斷連接 AWS CloudHSM 金鑰存放區。

若要中斷 AWS KMS 主控台中已連線 AWS CloudHSM 的金鑰存放區，請先從自訂 AWS CloudHSM 金鑰存放區頁面選擇金鑰存放區。

登入 AWS Management Console 並在 https://console.aws.amazon.com/kms 開啟 AWS Key Management Service （AWS KMS）主控台。
若要變更 AWS 區域，請使用頁面右上角的區域選擇器。
在導覽窗格依次選擇自訂金鑰存放區、AWS CloudHSM 金鑰存放區。
選擇您想要中斷連接的外部金鑰存放區列。
從 Key store actions (金鑰存放區動作) 選單中，選擇 Disconnect (中斷連接)。

當操作完成時，連接狀態會從 Disconnecting (正在中斷連接) 變為 Disconnected (已中斷連接)。如果操作失敗，會出現錯誤訊息，其中描述問題並提供如何修正的協助。如果您需要更多協助，請參閱對自訂金鑰存放區進行故障診斷。

若要中斷連線已連線的 AWS CloudHSM 金鑰存放區，請使用 DisconnectCustomKeyStore操作。如果操作成功，會 AWS KMS 傳回 200 HTTP 回應和沒有屬性的JSON物件。

本節中的範例使用 AWS Command Line Interface (AWS CLI)，但您可以使用任何支援的程式設計語言。

此範例會中斷連接 AWS CloudHSM 金鑰存放區。執行此範例之前，請將範例 ID 以有效的 ID 取代。


$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

若要確認 AWS CloudHSM 金鑰存放區已中斷連線，請使用 DescribeCustomKeyStores操作。在預設情況下，此操作會傳回您帳戶和區域中的所有自訂金鑰存放區。但是，您可以使用 CustomKeyStoreId 和 CustomKeyStoreName 參數 (但不能同時使用) 來限制對特定自訂金鑰存放區的回應。ConnectionState 的值DISCONNECTED表示此範例 AWS CloudHSM 金鑰存放區未連接至其 AWS CloudHSM 叢集。


$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

連接 AWS CloudHSM 金鑰存放區

刪除 AWS CloudHSM 金鑰存放區