編輯 AWS CloudHSM 金鑰存放區設定 - AWS Key Management Service
編輯 AWS CloudHSM 金鑰存放區 (主控台)編輯 AWS CloudHSM 金鑰存放區 (API)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

編輯 AWS CloudHSM 金鑰存放區設定

您可以變更現有 AWS CloudHSM 金鑰存放區的設定。必須將自訂金鑰存放區從 AWS CloudHSM 叢集中斷連接。

若要編輯 AWS CloudHSM 金鑰存放區設定:

  1. 將自訂金鑰存放區從其 AWS CloudHSM 叢集中斷連線。當自訂金鑰存放區中斷連線時,您無法在自訂金鑰存放區中建立 AWS KMS keys (KMS 金鑰),並且無法使用其包含的 KMS 金鑰進行密碼編譯操作

  2. 編輯一個或多個 AWS CloudHSM 金鑰存放區設定。

  3. 將自訂金鑰存放區重新連接至其 AWS CloudHSM 叢集。

您可以編輯自訂金鑰存放區中的以下設定:

自訂金鑰存放區的易記名稱。

輸入新的易記名稱。該新名稱在 AWS 帳戶 的所有自訂金鑰存放區中必須唯一。

重要

請勿在此欄位包含機密或敏感資訊。在 CloudTrail 記錄檔和其他輸出中,此欄位可能會以純文字顯示。

相關聯 AWS CloudHSM 叢集的叢集 ID。

編輯此值,以使用相關的 AWS CloudHSM 叢集來替代原始叢集。您可以使用此功能在 AWS CloudHSM 叢集損毀或遭到刪除時修復自訂金鑰存放區。

指定與原始叢集共用備份歷史記錄的 AWS CloudHSM 叢集,並且實現與自訂金鑰存放區建立關聯的要求,包含在不同的可用區域有兩個作用中 HSM。共用備份歷史記錄的叢集具有相同的叢集憑證。若要檢視叢集的叢集憑證,請使用DescribeClusters作業。您無法使用編輯功能,將自訂金鑰存放區與不相關的 AWS CloudHSM 叢集產生關聯。

kmsuser 加密使用者 (CU) 的目前密碼。

告知 AWS KMS AWS CloudHSM 叢集中 kmsuser CU 的目前密碼。此動作不會變更 AWS CloudHSM 叢集中 kmsuser CU 的密碼。

如果您變更 AWS CloudHSM 叢集中 kmsuser CU 的密碼,請使用此功能來告知 AWS KMS 相關的新 kmsuser 密碼。否則,AWS KMS 會無法登入叢集,並且將自訂金鑰存放區連接到叢集的所有嘗試都會失敗。

編輯 AWS CloudHSM 金鑰存放區 (主控台)

編輯 AWS CloudHSM 金鑰存放區時,您可以變更任何可設定的值。

  1. 請登入 AWS Management Console,並開啟 AWS Key Management Service (AWS KMS) 主控台 (網站:https://console.aws.amazon.com/kms)。

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選取器。

  3. 在導覽窗格依次選擇自訂金鑰存放區AWS CloudHSM 金鑰存放區

  4. 選擇您想要編輯的 AWS CloudHSM 金鑰存放區的資料列。

    Connection state (連接狀態) 欄的值不是 DISCONNECTED (已中斷連接),則在編輯之前,您必須先中斷連接自訂金鑰存放區。(從 Key store actions (金鑰存放區動作) 選單中,選擇 Disconnect (中斷連接)。)

    當 AWS CloudHSM 金鑰存放區中斷連接時,您可以管理 AWS CloudHSM 金鑰存放區和其 KMS 金鑰,但無法在 AWS CloudHSM 金鑰存放區中建立或使用 KMS 金鑰。

  5. Key store actions (金鑰存放區動作) 選單中,選擇 Edit (編輯)。

  6. 執行下列其中一或多個動作。

    • 輸入自訂金鑰存放區的易記名稱。

    • 輸入相關 AWS CloudHSM 叢集的叢集 ID。

    • 輸入關聯的 AWS CloudHSM 叢集中 kmsuser 加密使用者目前的密碼。

  7. 選擇儲存

    當程序成功時,會出現訊息描述您編輯的設定。當操作失敗時,會出現錯誤訊息,其中描述問題並提供如何修正的協助。如果您需要更多協助,請參閱對自訂金鑰存放區進行故障診斷

  8. 重新連接自訂金鑰存放區。

    若要使用 AWS CloudHSM 金鑰存放區,您必須在編輯之後,將它重新連接。您可以將 AWS CloudHSM 金鑰存放區保持中斷連接。中斷連接時,您無法在 AWS CloudHSM 金鑰存放區中建立 KMS 金鑰,並且無法在密碼編譯操作中使用 AWS CloudHSM 金鑰存放區中的 KMS 金鑰。

編輯 AWS CloudHSM 金鑰存放區 (API)

若要變更AWS CloudHSM金鑰存放區的屬性,請使用此UpdateCustomKeyStore作業。您可以在相同命令中變更自訂金鑰存放區的多個屬性。如果操作成功,則 AWS KMS 傳回 HTTP 200 回應和不帶屬性的 JSON 物件。若要驗證變更是否有效,請使用DescribeCustomKeyStores作業。

本節中的範例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何支援的程式設計語言。

首先使用中斷DisconnectCustomKeyStore自訂金鑰存放區與其AWS CloudHSM叢集的連線。將範例自訂金鑰存放區 ID cks-1234567890abcdef0 以實際 ID 取代。

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

第一個範例使UpdateCustomKeyStore用將AWS CloudHSM金鑰存放區的易記名稱變更為DevelopmentKeys。此命令使用 CustomKeyStoreId 參數來識別 AWS CloudHSM 金鑰存放區和 CustomKeyStoreName,以指定自訂金鑰存放區的新名稱。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

以下範例會將與 AWS CloudHSM 金鑰存放區相關聯的叢集變更為相同叢集的另一個備份。此命令使用 CustomKeyStoreId 參數來識別 AWS CloudHSM 金鑰存放區和 CloudHsmClusterId 參數,以指定新叢集 ID。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

以下範例會告知 AWS KMS 目前的 kmsuser 密碼為 ExamplePassword。此命令使用 CustomKeyStoreId 參數來識別 AWS CloudHSM 金鑰存放區和 KeyStorePassword 參數,以指定目前的密碼。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

最後的命令會將 AWS CloudHSM 金鑰存放區重新連接至其 AWS CloudHSM 叢集。您可以將自訂金鑰存放區保持在中斷連線狀態,但必須先將其連線,才能建立新的 KMS 金鑰或將現有的 KMS 金鑰用於密碼編譯操作。將範例自訂金鑰存放區 ID 以實際 ID 取代。

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0