编辑自定义密钥存储设置 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

编辑自定义密钥存储设置

您可以更改现有自定义密钥存储的设置。必须断开自定义密钥存储与其 Amazon CloudHSM 集群的连接。

编辑自定义密钥存储设置:

  1. 断开自定义密钥存储与其 Amazon CloudHSM 集群的连接。在自定义密钥存储断开连接时,您无法在自定义密钥存储中创建 Amazon KMS keys(KMS 密钥),并且无法使用其包含的 KMS 密钥进行加密操作

  2. 编辑一个或多个自定义密钥存储设置。

  3. 重新连接自定义密钥存储至其 Amazon CloudHSM 集群。

您可以在自定义密钥存储中编辑以下设置:

自定义密钥存储的友好名称。

输入新的友好名称。新名称在您的 Amazon Web Services 账户 中必须是唯一的。

关联的 Amazon CloudHSM 集群的集群 ID。

编辑此值以使用相关 Amazon CloudHSM 集群替换原始集群。如果自定义密钥存储的 Amazon CloudHSM 集群损坏或被删除,则可使用此功能来修复自定义密钥存储。

指定一个 Amazon CloudHSM 集群,该集群与原始集群共享备份历史记录并满足要求以与自定义密钥存储关联,包括不同可用区中的两个活动 HSM。共享备份历史记录的集群具有相同的集群证书。要查看集群的集群证书,请使用 DescribeClusters 操作。您无法使用编辑功能来将自定义密钥存储与不相关的 Amazon CloudHSM 集群相关联。

kmsuser 加密用户 (CU) 的当前密码。

向 Amazon KMS 告知 kmsuser 集群中 Amazon CloudHSM CU 的当前密码。此操作不会更改 kmsuser 集群中 Amazon CloudHSM CU 的密码。

如果更改 kmsuser 集群中 Amazon CloudHSM CU 的密码,请使用此功能来向 Amazon KMS 告知新的 kmsuser 密码。否则,Amazon KMS 将无法登录集群并且所有将自定义密钥存储连接到集群的尝试都将失败。

编辑自定义密钥存储(控制台)

在编辑自定义密钥存储时,您可以更改任何可配置的值。

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Key Management Service (Amazon KMS) 控制台:https://console.aws.amazon.com/kms

  2. 要更改 Amazon 区域,请使用页面右上角的 Region selector (区域选择器)。

  3. 在导航窗格中,选择 Custom key stores(自定义密钥存储)。

  4. 选择要编辑的自定义密钥存储。

  5. 如果 Status (状态) 列中的值不是 DISCONNECTED,则必须先断开自定义密钥存储,然后才能对其进行编辑。从 Key store actions (密钥存储操作) 菜单中,选择 Disconnect custom key store (断开自定义密钥存储)

  6. Key store actions (密钥存储操作) 菜单中,选择 Edit custom key store settings (编辑自定义密钥存储设置)

  7. 执行以下一项或多项操作。

    • 为自定义密钥存储键入新的友好名称。

    • 键入相关 Amazon CloudHSM 集群的集群 ID。

    • 键入关联的 kmsuser 集群中 Amazon CloudHSM 加密用户的当前密码。

  8. 选择保存

    在此过程成功后,将显示一条消息,描述您编辑的设置。如果此过程失败,则会显示一条错误消息,描述问题并提供有关如何解决问题的帮助。如果您需要更多帮助,请参阅对自定义密钥存储进行故障排除

  9. 重新连接自定义密钥存储。

    要使用自定义密钥存储,您必须在编辑后重新连接它。您可以将自定义密钥存储保留断开状态。不过,尽管它处于断开状态,但您无法在自定义密钥存储中创建 KMS 密钥或在加密操作中使用自定义密钥存储中的 KMS 密钥。

编辑自定义密钥存储 (API)

要更改自定义密钥存储的属性,请使用 UpdateCustomKeyStore 操作。您可以在同一命令中更改自定义密钥存储的多个属性。如果此操作成功,则 Amazon KMS 返回 HTTP 200 响应和无属性的 JSON 对象。

本部分中的示例使用 Amazon Command Line Interface (Amazon CLI),但您可以使用任何受支持的编程语言。

首先使用 DisconnectCustomKeyStore断开自定义密钥存储与 Amazon KMS 的连接。将示例自定义密钥存储 ID cks-1234567890abcdef0 替换为实际 ID。

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

第一个示例使用 UpdateCustomKeyStore 来将自定义密钥存储的友好名称更改为 DevelopmentKeys。该命令使用 CustomKeyStoreId 参数标识自定义密钥存储,使用 CustomKeyStoreName 指定自定义密钥存储的新名称。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

以下示例将与自定义密钥存储关联的集群更改为同一集群的其他备份。该命令使用 CustomKeyStoreId 参数标识自定义密钥存储,使用 CloudHsmClusterId 参数指定新集群 ID。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

以下示例向 Amazon KMS 告知当前 kmsuser 密码为 ExamplePassword。该命令使用 CustomKeyStoreId 参数标识自定义密钥存储,使用 KeyStorePassword 参数指定当前密码。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

最后一个命令将自定义密钥存储重新连接到 Amazon KMS。您可以将自定义密钥存储保留断开状态,但必须先连接它,然后才能创建新的 KMS 密钥或使用现有 KMS 密钥来进行加密操作。将示例自定义密钥存储 ID 替换为实际 ID。

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0