AWS Key Management Service
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

编辑自定义密钥存储设置

您可以更改现有自定义密钥存储的设置。必须断开自定义密钥存储与其 AWS CloudHSM 集群的连接。

编辑自定义密钥存储设置:

  1. 从自定义密钥存储的 AWS CloudHSM 集群断开自定义密钥存储。在自定义密钥存储断开时,您无法在自定义密钥存储中创建客户主密钥 (CMK),并且无法使用其包含的 CMK 进行加密操作。

  2. 编辑一个或多个自定义密钥存储设置。

  3. 重新连接自定义密钥存储至其 AWS CloudHSM 集群。

您可以在自定义密钥存储中编辑以下设置:

自定义密钥存储的友好名称。

输入新的友好名称。新名称在您的 AWS 账户中必须是唯一的。

关联的 AWS CloudHSM 集群的集群 ID。

编辑此值以使用相关 AWS CloudHSM 集群替换原始集群。如果自定义密钥存储的 AWS CloudHSM 集群损坏或被删除,则可使用此功能来修复自定义密钥存储。

指定一个 AWS CloudHSM 集群,该集群与原始集群共享备份历史记录并满足要求以与自定义密钥存储关联,包括不同可用区中的两个活动 HSM。共享备份历史记录的集群具有相同的集群证书。要查看集群的集群证书,请使用 DescribeClusters 操作。您无法使用编辑功能来将自定义密钥存储与不相关的 AWS CloudHSM 集群相关联。

kmsuser 加密用户 (CU) 的当前密码。

向 AWS KMS 告知 AWS CloudHSM 集群中 kmsuser CU 的当前密码。此操作不会更改 AWS CloudHSM 集群中 kmsuser CU 的密码。

如果更改 AWS CloudHSM 集群中 kmsuser CU 的密码,请使用此功能来向 AWS KMS 告知新的 kmsuser 密码。否则,AWS KMS 将无法登录集群并且所有将自定义密钥存储连接到集群的尝试都将失败。

编辑自定义密钥存储(控制台)

在编辑自定义密钥存储时,您可以更改任何可配置的值。

  1. 登录 AWS 管理控制台并通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台:https://console.amazonaws.cn/kms

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 在左侧导航窗格中,选择 Custom key stores (自定义密钥存储)

  4. 选择要编辑的自定义密钥存储。

  5. 如果 Status (状态) 列中的值不是 DISCONNECTED,则必须先断开自定义密钥存储,然后才能对其进行编辑。从 Key store actions (密钥存储操作) 菜单中,选择 Disconnect custom key store (断开自定义密钥存储)

  6. Key store actions (密钥存储操作) 菜单中,选择 Edit custom key store settings (编辑自定义密钥存储设置)

  7. 执行以下一项或多项操作。

    • 为自定义密钥存储键入新的友好名称。

    • 键入相关 AWS CloudHSM 集群的集群 ID。

    • 键入关联的 AWS CloudHSM 集群中 kmsuser 加密用户的当前密码。

  8. 选择 Save

    在此过程成功后,将显示一条消息,描述您编辑的设置。如果此过程失败,则会显示一条错误消息,描述问题并提供有关如何解决问题的帮助。如果您需要更多帮助,请参阅对自定义密钥存储进行故障排除

  9. 重新连接自定义密钥存储。

    要使用自定义密钥存储,您必须在编辑后重新连接它。您可以将自定义密钥存储保留断开状态。不过,尽管它处于断开状态,但您无法在自定义密钥存储中创建 CMK 或在加密操作中使用自定义密钥存储中的 CMK。

编辑自定义密钥存储 (API)

要更改自定义密钥存储的属性,请使用 UpdateCustomKeyStore 操作。您可以在同一命令中更改自定义密钥存储的多个属性。如果操作不成功,AWS KMS 将返回 HTTP 200 响应和无属性的 JSON 对象。

此部分中的示例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何受支持的编程语言。

首先,使用 DisconnectCustomKeyStore 以从 AWS KMS 断开自定义密钥存储。将示例自定义密钥存储 ID cks-1234567890abcdef0 替换为实际 ID。

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

第一个示例使用 UpdateCustomKeyStore 来将自定义密钥存储的友好名称更改为 DevelopmentKeys。该命令使用 CustomKeyStoreId 参数标识自定义密钥存储,使用 CustomKeyStoreName 指定自定义密钥存储的新名称。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

以下示例将与自定义密钥存储关联的集群更改为同一集群的其他备份。该命令使用 CustomKeyStoreId 参数标识自定义密钥存储,使用 CloudHsmClusterId 参数指定新集群 ID。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

以下示例向 AWS KMS 告知当前 kmsuser 密码为 ExamplePassword。该命令使用 CustomKeyStoreId 参数标识自定义密钥存储,使用 KeyStorePassword 参数指定当前密码。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

最后一个命令将自定义密钥存储重新连接到 AWS KMS。您可以将自定义密钥存储保留断开状态,但必须先连接它,然后才能创建新的 CMK 或使用现有 CMK 来进行加密操作。将示例自定义密钥存储 ID 替换为实际 ID。

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0