AWS CloudHSM キーストア設定の編集 - AWS Key Management Service
キーストア設定を編集する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM キーストア設定の編集

既存の AWS CloudHSM キーストアの設定を変更できます。カスタムキーストアは AWS CloudHSM 、クラスターを切断する必要があります。

AWS CloudHSM キーストア設定を編集するには:

  1. カスタムキーストアの AWS CloudHSM クラスターから、カスタムキーストアを切断します

    カスタムキーストアが切断されている間は、カスタムキーストアに AWS KMS keys (KMS キー) を作成することはできません。また、カスタムキーストアに含まれる KMS キーを暗号化オペレーションに使用することはできません。

  2. 1 つ以上の AWS CloudHSM キーストア設定を編集します。

    カスタムキーストアで次の設定を編集できます。

    カスタムキーストアのわかりやすい名前。

    新しい分かりやすい名前を入力します。新しい名前は、 内のすべてのカスタムキーストア間で一意である必要があります AWS アカウント。

    重要

    このフィールドには、機密情報や重要情報を含めないでください。このフィールドは、CloudTrail ログやその他の出力にプレーンテキストで表示される場合があります。

    関連付けられたクラスターの AWS CloudHSM クラスター ID。

    この値を編集して、関連する AWS CloudHSM クラスターを元のクラスターに置き換えます。この機能を使用して、 AWS CloudHSM クラスターが破損または削除された場合にカスタムキーストアを修復できます。

    バックアップ履歴を元の AWS CloudHSM クラスターと共有し、異なるアベイラビリティーゾーン内の 2 つのアクティブな HSMs を含むカスタムキーストアとの関連付けの要件を満たす クラスターを指定します。バックアップ履歴を共有するクラスターには同じクラスター証明書があります。クラスターのクラスター証明書を表示するには、 DescribeClusters オペレーションを使用します。編集機能を使用してカスタムキーストアを無関係な AWS CloudHSM クラスターと関連付けることはできません。

    kmsuser Crypto User (CU) の現在のパスワード。

    クラスター内の CU kmsuser の AWS KMS 現在のパスワードを指定します AWS CloudHSM 。このアクションは、 AWS CloudHSM クラスター内の CU kmsuser のパスワードを変更しません。

    AWS CloudHSM クラスターで CU kmsuser のパスワードを変更する場合は、この機能を使用して新しいkmsuserパスワードを指示 AWS KMS します。それ以外の場合、 AWS KMS はクラスターにログインできず、カスタムキーストアをクラスターに接続しようとするすべての試行は失敗します。

  3. カスタムキーストアを AWS CloudHSM クラスターに再接続します

キーストア設定を編集する

AWS CloudHSM キーストアの設定は、 AWS KMS コンソールまたは UpdateCustomKeyStore オペレーションを使用して編集できます。

AWS CloudHSM キーストアを編集するときは、設定可能な値のいずれか または を変更できます。

  1. にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/kms で AWS Key Management Service (AWS KMS) コンソールを開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[カスタムキーストア][AWS CloudHSM キーストア] の順に選択します。

  4. 編集する AWS CloudHSM キーストアの行を選択します。

    [接続の状態] 列の値が [切断済み] になっていない場合は、カスタムキーストアを切断してから編集する必要があります。([Key store actions] (キーストアアクション) メニューから [Disconnect] (切断) を選択します)。

    AWS CloudHSM キーストアが切断されている間は、 AWS CloudHSM キーストアとその KMS キーを管理できますが、 AWS CloudHSM キーストアで KMS キーを作成または使用することはできません。

  5. [Key store actions] (キーストアアクション) メニューから [Edit] (編集) を選択します。

  6. 次のいずれかのアクションを実行します。

    • カスタムキーストアの新しいわかりやすい名前を入力します。

    • 関連するクラスターの AWS CloudHSM クラスター ID を入力します。

    • 関連付けられた AWS CloudHSM クラスター内のkmsuser暗号化ユーザーの現在のパスワードを入力します。

  7. [保存] を選択します。

    プロシージャが正常に完了すると、編集した設定を説明するメッセージが表示されます。正常に行われなかった場合は、問題を説明し、修正方法を示すエラーメッセージが表示されます。さらにヘルプが必要な場合は、「カスタムキーストアのトラブルシューティング」を参照してください。

  8. カスタムキーストアを再接続します。

    AWS CloudHSM キーストアを使用するには、編集後に再接続する必要があります。 AWS CloudHSM キーストアは切断されたままにすることができます。ただし、切断されている間は、 AWS CloudHSM キーストアで KMS キーを作成したり、暗号化オペレーションで AWS CloudHSM キーストアで KMS キーを使用したりすることはできません。

AWS CloudHSM キーストアのプロパティを変更するには、UpdateCustomKeyStore オペレーションを使用します。同じコマンドで、カスタムキーストアの複数のプロパティを変更できます。オペレーションが成功すると、 は HTTP 200 レスポンスとプロパティのない JSON オブジェクト AWS KMS を返します。変更が有効になっていることを確認するには、DescribeCustomKeyStores オペレーションを使用します。

このセクションの例では AWS Command Line Interface (AWS CLI) を使用しますが、サポートされている任意のプログラミング言語を使用することができます。

まず、DisconnectCustomKeyStore を使用してカスタムキーストアをクラスターから切断します。 AWS CloudHSM 例のカスタムキーストア ID cks-1234567890abcdef0 を実際の ID に置き換えます。

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

最初の例では、UpdateCustomKeyStore を使用してキー AWS CloudHSM ストアのフレンドリ名を に変更しますDevelopmentKeys。コマンドは CustomKeyStoreIdパラメータを使用して AWS CloudHSM キーストアを識別し、 CustomKeyStoreNameを使用してカスタムキーストアの新しい名前を指定します。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

次の の例では、 AWS CloudHSM キーストアに関連付けられているクラスターを、同じクラスターの別のバックアップに変更します。コマンドは CustomKeyStoreIdパラメータを使用して AWS CloudHSM キーストアを識別し、 CloudHsmClusterIdパラメータを使用して新しいクラスター ID を指定します。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

次の例では、現在のkmsuserパスワードが AWS KMS であることを示していますExamplePassword。コマンドは CustomKeyStoreIdパラメータを使用して AWS CloudHSM キーストアを識別し、 KeyStorePasswordパラメータを使用して現在のパスワードを指定します。

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

最後のコマンドは、 AWS CloudHSM キーストアを AWS CloudHSM クラスターに再接続します。カスタムキーストアは切断された状態のままにできますが、新しい KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする前に接続する必要があります。カスタムキーストア ID 例を実際の ID と置き換えます。

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0