编辑 Amazon CloudHSM 密钥存储设置 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

编辑 Amazon CloudHSM 密钥存储设置

您可以更改现有 Amazon CloudHSM 密钥存储的设置。必须断开自定义密钥存储与其 Amazon CloudHSM 集群的连接。

要编辑 Amazon CloudHSM 密钥存储设置,请执行以下操作:

  1. 断开自定义密钥存储与其 Amazon CloudHSM 集群的连接。在自定义密钥存储断开连接时,您无法在自定义密钥存储中创建 Amazon KMS keys(KMS 密钥),并且无法使用其包含的 KMS 密钥进行加密操作

  2. 编辑一个或多个 Amazon CloudHSM 密钥存储设置。

  3. 重新连接自定义密钥存储至其 Amazon CloudHSM 集群。

您可以在自定义密钥存储中编辑以下设置:

自定义密钥存储的友好名称。

输入新的友好名称。新名称在您 Amazon Web Services 账户 的所有自定义密钥存储中必须具备唯一性。

重要

不要在此字段中包含机密或敏感信息。此字段可能会以纯文本形式显示在 CloudTrail 日志和其他输出中。

关联的 Amazon CloudHSM 集群的集群 ID。

编辑此值以使用相关 Amazon CloudHSM 集群替换原始集群。如果自定义密钥存储的 Amazon CloudHSM 集群损坏或被删除,则可使用此功能来修复自定义密钥存储。

指定一个 Amazon CloudHSM 集群,该集群与原始集群共享备份历史记录并满足要求以与自定义密钥存储关联,包括不同可用区中的两个活动 HSM。共享备份历史记录的集群具有相同的集群证书。要查看集群的集群证书,请使用DescribeClusters操作。您无法使用编辑功能来将自定义密钥存储与不相关的 Amazon CloudHSM 集群相关联。

kmsuser 加密用户 (CU) 的当前密码。

向 Amazon KMS 告知 Amazon CloudHSM 集群中 kmsuser CU 的当前密码。此操作不会更改 Amazon CloudHSM 集群中 kmsuser CU 的密码。

如果更改 Amazon CloudHSM 集群中 kmsuser CU 的密码,请使用此功能来向 Amazon KMS 告知新的 kmsuser 密码。否则,Amazon KMS 将无法登录集群并且所有将自定义密钥存储连接到集群的尝试都将失败。

编辑 Amazon CloudHSM 密钥存储(控制台)

在编辑 Amazon CloudHSM 密钥存储时,您可以更改任何可配置的值。

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Key Management Service (Amazon KMS) 控制台:https://console.aws.amazon.com/kms

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择自定义密钥存储Amazon CloudHSM 密钥存储

  4. 选择要编辑的 Amazon CloudHSM 密钥存储的行。

    如果 “连接状态” 列中的值不是 “已断开连接”,则必须先断开自定义密钥存储的连接,然后才能对其进行编辑。[从 Key store actions(密钥存储操作)菜单中选择 Disconnect(断开连接)。]

    当某个 Amazon CloudHSM 密钥存储断开时,您可以管理 Amazon CloudHSM 密钥存储及其 KMS 密钥,但无法在 Amazon CloudHSM 密钥存储中创建或使用 KMS 密钥。

  5. Key store actions(密钥存储操作)菜单中选择 Edit(编辑)。

  6. 执行以下一项或多项操作。

    • 为自定义密钥存储键入新的友好名称。

    • 键入相关 Amazon CloudHSM 集群的集群 ID。

    • 键入关联的 Amazon CloudHSM 集群中 kmsuser 加密用户的当前密码。

  7. 选择保存

    在此过程成功后,将显示一条消息,描述您编辑的设置。如果此过程失败,则会显示一条错误消息,描述问题并提供有关如何解决问题的帮助。如果您需要更多帮助,请参阅对自定义密钥存储进行故障排除

  8. 重新连接自定义密钥存储。

    要使用 Amazon CloudHSM 密钥存储,您必须在编辑后重新连接它。您可以让 Amazon CloudHSM 密钥存储保留断开状态。不过,在其断开连接后,您无法在 Amazon CloudHSM 密钥存储中创建 KMS 密钥或在加密操作中使用 Amazon CloudHSM 密钥存储中的 KMS 密钥。

编辑 Amazon CloudHSM 密钥存储(API)

要更改Amazon CloudHSM密钥库的属性,请使用UpdateCustomKeyStore操作。您可以在同一命令中更改自定义密钥存储的多个属性。如果此操作成功,则 Amazon KMS 返回 HTTP 200 响应和无属性的 JSON 对象。要验证更改是否有效,请使用DescribeCustomKeyStores操作。

本部分中的示例使用 Amazon Command Line Interface (Amazon CLI),但您可以使用任何受支持的编程语言。

首先使用DisconnectCustomKeyStore断开自定义密钥存储与其Amazon CloudHSM集群的连接。将示例自定义密钥存储 ID cks-1234567890abcdef0 替换为实际 ID。

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

第一个示例用于UpdateCustomKeyStore将Amazon CloudHSM密钥库的友好名称更改为DevelopmentKeys。该命令使用 CustomKeyStoreId 参数标识 Amazon CloudHSM 密钥存储,使用 CustomKeyStoreName 指定自定义密钥存储的新名称。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

以下示例将与 Amazon CloudHSM 密钥存储关联的集群更改为同一集群的其他备份。该命令使用 CustomKeyStoreId 参数标识 Amazon CloudHSM 密钥存储,使用 CloudHsmClusterId 参数指定新集群 ID。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

以下示例向 Amazon KMS 告知当前 kmsuser 密码为 ExamplePassword。该命令使用 CustomKeyStoreId 参数标识 Amazon CloudHSM 密钥存储,使用 KeyStorePassword 参数指定当前密码。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

最后一个命令将 Amazon CloudHSM 密钥存储重新连接到 Amazon CloudHSM 集群。您可以将自定义密钥存储保留断开状态,但必须先连接它,然后才能创建新的 KMS 密钥或使用现有 KMS 密钥来进行加密操作。将示例自定义密钥存储 ID 替换为实际 ID。

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0