本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 断开密 Amazon CloudHSM 钥库的连接
当您断开 Amazon CloudHSM 密钥存储库的连接时,会 Amazon KMS 注销 Amazon CloudHSM 客户端,断开与关联 Amazon CloudHSM 群集的连接,并移除它为支持该连接而创建的网络基础架构。
当 Amazon CloudHSM 密钥存储断开连接时,您可以管理密 Amazon CloudHSM 钥存储及其 KMS 密钥,但不能在密钥存储中创建或使用 KMS 密钥。 Amazon CloudHSM 密钥存储的连接状态为 `DISCONNECTED`,自定义密钥存储中的 KMS 密钥的[密钥状态](key-state.md)为 `Unavailable`,除非它们是 `PendingDeletion`。您可以随时重新连接 Amazon CloudHSM 密钥库。
**注意**
Amazon CloudHSM 只有当密钥库从未`DISCONNECTED`连接过或您明确断开连接时,密钥库才会处于连接状态。如果您的 Amazon CloudHSM 密钥库连接状态为,`CONNECTED`但您在使用它时遇到问题,请确保其关联的 Amazon CloudHSM 集群处于活动状态并且至少包含一个处于活动状态的集群 HSMs。如需帮助解决连接失败问题,请参阅 [对自定义密钥存储进行故障排除](fix-keystore.md)。
当您断开自定义密钥存储时,密钥存储中的 KMS 密钥立即变得不可用(视最终一致性而定)。不过,在再次使用 KMS 密钥(例如解密数据密钥)之前,使用受 KMS 密钥保护的[数据密钥](data-keys.md)加密的资源不会受到影响。此问题会影响 Amazon Web Services 服务,因为许多服务使用数据密钥来保护您的资源。有关更多信息,请参阅 [不可用的 KMS 密钥如何影响数据密钥](unusable-kms-keys.md)。
**注意**
虽然自定义密钥存储已断开连接,但在自定义密钥存储中创建 KMS 密钥或在加密操作中使用现有 KMS 密钥的所有尝试都将失败。此操作可以阻止用户存储和访问敏感数据。
为了更好地估计断开自定义密钥存储的影响,请在自定义密钥存储中[标识 KMS 密钥](find-cmk-in-keystore.md),并[确定其过去的使用情况](deleting-keys-determining-usage.md)。
您可能会出于以下原因断开 Amazon CloudHSM 密钥存储的连接:
+ **轮换 `kmsuser` 密码。**每当 Amazon KMS 连接到 Amazon CloudHSM 集群时,它就会更改 `kmsuser` 密码。要强制轮换密码,只需断开并重新连接。
+ **审计集 Amazon CloudHSM 群中 KMS 密钥的密钥材料**。当您断开自定义密钥存储库的 Amazon KMS 连接时,请注销 Amazon CloudHSM 客户端中的[`kmsuser`加密用户](keystore-cloudhsm.md#concept-kmsuser)帐户。这样,您便能以 `kmsuser` CU 身份登录到集群并审核和管理 KMS 密钥的密钥材料。
+ 在 Amazon CloudHSM 密钥存储中**立即禁用所有 KMS 密钥**。您可以使用 Amazon Web Services 管理控制台 或[DisableKey](https://docs.amazonaws.cn/kms/latest/APIReference/API_DisableKey.html)操作[禁用和重新启用密 Amazon CloudHSM 钥](enabling-keys.md)存储中的 KMS 密钥。这些操作会快速完成,但它们一次只针对一个 KMS 密钥。断开 Amazon CloudHSM 密钥存储库的连接会立即将密钥存储区中所有 KMS 密钥的密钥状态更改为`Unavailable`,从而阻止它们用于任何加密操作。 Amazon CloudHSM
+ **修复失败的连接尝试**。如果尝试连接 Amazon CloudHSM 密钥库失败(自定义密钥库的连接状态为`FAILED`),则必须先断开 Amazon CloudHSM 密钥库的连接,然后再尝试重新连接。
## 断开 Amazon CloudHSM 密钥库的连接
您可以在 Amazon KMS 控制台中断开 Amazon CloudHSM 密钥存储的连接,也可以使用该[DisconnectCustomKeyStore](https://docs.amazonaws.cn/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)操作断开密钥存储的连接。
### 使用 Amazon KMS 控制台断开连接
要断开 Amazon KMS 控制台中已连接的 Amazon CloudHSM 密钥存储区的连接,请先从 “**自定义 Amazon CloudHSM 密钥存储” 页面中选择密钥存储库**。
1. 登录 Amazon Web Services 管理控制台 并在 [https://console.aws.amazon.com/km](https://console.amazonaws.cn/kms) s 处打开 Amazon Key Management Service (Amazon KMS) 控制台。
1. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。
1. 在导航窗格中,选择**自定义密钥存储**、**Amazon CloudHSM 密钥存储**。
1. 选择要断开连接的外部密钥存储的行。
1. 从 **Key store actions**(密钥存储操作)菜单中选择 **Disconnect**(断开连接)。
当操作完成时,连接状态将从**正在断开**变为**已断开连接**。如果操作失败,则会出现一条错误消息,描述问题并提供有关如何修复它的帮助。如果您需要更多帮助,请参阅[对自定义密钥存储进行故障排除](fix-keystore.md)。
### 使用 Amazon KMS API 断开连接
要断开连接的 Amazon CloudHSM 密钥存储库,请使用[DisconnectCustomKeyStore](https://docs.amazonaws.cn/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)操作。如果操作成功,则 Amazon KMS 返回一个 HTTP 200 响应和一个没有属性的 JSON 对象。
本部分中的示例使用 [Amazon Command Line Interface (Amazon CLI)](https://www.amazonaws.cn/cli/),但您可以使用任何受支持的编程语言。
此示例断开 Amazon CloudHSM 密钥库的连接。在运行此示例之前,请将示例 ID 替换为有效的 ID。
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
要验证 Amazon CloudHSM 密钥存储是否已断开连接,请使用[DescribeCustomKeyStores](https://docs.amazonaws.cn/kms/latest/APIReference/API_DescribeCustomKeyStores.html)操作。默认情况下,此操作将返回您的账户和区域中的所有自定义密钥存储。但您可以使用 `CustomKeyStoreId` 和 `CustomKeyStoreName` 参数(但不能同时使用两者)将响应限制到特定自定义密钥存储。的`ConnectionState`值`DISCONNECTED`表示此示例 Amazon CloudHSM 密钥存储未连接到其 Amazon CloudHSM 集群。
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionState": "DISCONNECTED",
"CreationDate": "1.499288695918E9",
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"TrustAnchorCertificate": ""
],
}
```