Editar as configurações de repositório de chaves do AWS CloudHSM - AWS Key Management Service
Editar as configurações de repositório de chaves

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Editar as configurações de repositório de chaves do AWS CloudHSM

Você pode alterar as configurações de um armazenamento de chaves do AWS CloudHSM existente. O armazenamento de chaves personalizado deve estar desconectado do cluster do AWS CloudHSM.

Para editar as configurações de armazenamento de chaves do AWS CloudHSM:

  1. Desconectar o armazenamento de chaves personalizado do cluster do AWS CloudHSM.

    Enquanto o repositório de chaves personalizado está desconectado, não é possível criar ali AWS KMS keys (chaves do KMS) nem usar as chaves do KMS que ele contém para realizar operações de criptografia.

  2. Editar uma ou mais das configurações do armazenamento de chaves do AWS CloudHSM.

    Você pode editar as seguintes configurações em um armazenamento de chaves personalizado:

    O nome amigável do armazenamento de chaves personalizado.

    Inserir um novo nome amigável. O novo nome deve ser exclusivo entre todos os outros armazenamentos de chaves personalizados de sua Conta da AWS.

    Importante

    Não inclua informações confidenciais ou sigilosas nesse campo. Esse campo pode ser exibido em texto simples nos logs do CloudTrail e em outras saídas.

    O ID de cluster do cluster do AWS CloudHSM associado.

    Editar esse valor para substituir um cluster de AWS CloudHSM relacionado para o original. Você poderá usar esse recurso para reparar um armazenamento de chaves personalizado caso o seu cluster do AWS CloudHSM seja corrompido ou excluído.

    Especifique um cluster do AWS CloudHSM que compartilha um histórico de backup com o cluster original e cumpre os requisitos de associação com um armazenamento de chaves personalizado, incluindo dois HSMs ativos em diferentes zonas de disponibilidade. Os clusters que compartilham um histórico de backup têm o mesmo certificado do cluster. Para visualizar o certificado de cluster de um cluster, use a operação DescribeClusters. Você não pode usar o recurso de edição para associar o armazenamento de chaves personalizado a um cluster do AWS CloudHSM não relacionado.

    A senha atual do kmsuser usuário de criptografia (CU).

    Informa ao AWS KMS a senha atual do CU kmsuser no cluster do AWS CloudHSM. Essa ação não altera a senha do CU kmsuser no cluster do AWS CloudHSM.

    Se você alterar a senha do CU kmsuser no cluster do AWS CloudHSM, use esse recurso para informar ao AWS KMS a nova senha kmsuser. Caso contrário, o AWS KMS não poderá fazer login no cluster, e todas as tentativas de conectar o armazenamento de chaves personalizado ao cluster falham.

  3. Reconectar o armazenamento de chaves personalizado ao cluster do AWS CloudHSM.

Editar as configurações de repositório de chaves

Você pode editar as configurações do seu repositório de chaves do AWS CloudHSM no console do AWS KMS ou usando a operação UpdateCustomKeyStore.

Ao editar o armazenamento de chaves do AWS CloudHSM, você pode alterar qualquer um ou todos os valores configuráveis.

  1. Faça login no Console de gerenciamento da AWS e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.

  3. No painel de navegação, selecione Custom key stores (Repositórios de chaves personalizados), AWS CloudHSM key stores (Repositórios de chaves do ).

  4. Escolha a linha do armazenamento de chaves do AWS CloudHSM que deseja editar.

    Se o valor na coluna Connection state (Estado da conexão) não for Disconnected (Desconectado), você deverá desconectar o armazenamento de chaves personalizado para editá-lo. (No menu Key store actions (Ações do armazenamento de chaves), escolha Disconnect [Desconectar].)

    Enquanto um armazenamento de chaves do AWS CloudHSM está desconectado, é possível gerenciar o armazenamento de chaves do AWS CloudHSM e suas chaves do KMS, mas não é possível criar nem usar chaves do KMS no armazenamento de chaves do AWS CloudHSM.

  5. No menu Key store actions (Ações do armazenamento de chaves), escolha Edit (Editar).

  6. Faça uma ou mais das ações a seguir.

    • Digite um novo nome amigável para o armazenamento de chaves personalizado.

    • Digite o ID de cluster de um cluster do AWS CloudHSM associado.

    • Digite a senha atual do usuário de criptografia kmsuser no cluster do AWS CloudHSM associado.

  7. Escolha Save (Salvar).

    Se o procedimento for bem-sucedido, uma mensagem descreverá as configurações que você editou. Se for malsucedido, será exibida uma mensagem de erro descrevendo o problema e fornecendo ajuda para corrigi-lo. Se precisar de ajuda adicional, consulte Solucionar problemas de um armazenamento de chaves personalizado.

  8. Reconecte o armazenamento de chaves personalizado.

    Para usar o armazenamento de chaves do AWS CloudHSM, você deve reconectá-lo após a edição. Você pode deixar o armazenamento de chaves do AWS CloudHSM desconectado. Porém, enquanto estiver desconectado, não é possível criar as chaves do KMS no armazenamento de chaves do AWS CloudHSM nem usá-las no armazenamento de chaves do AWS CloudHSM em operações de criptografia.

Para alterar as propriedades de um armazenamento de chaves do AWS CloudHSM, use a operação UpdateCustomKeyStore. Você pode alterar várias propriedades de um armazenamento de chaves personalizado no mesmo comando. Se a operação tiver êxito, o AWS KMS retornará uma resposta HTTP 200 e um objeto JSON sem propriedades. Para verificar se as alterações estão em vigor, use a operação DescribeCustomKeyStores.

Os exemplos nesta seção usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

Comece usando DisconnectCustomKeyStore para desconectar o armazenamento de chaves personalizado do cluster do AWS CloudHSM. Substitua o exemplo de ID de armazenamento de chaves personalizado, cks-1234567890abcdef0, por um ID real.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

O primeiro exemplo usa UpdateCustomKeyStore para alterar o nome amigável do armazenamento de chaves do AWS CloudHSM por DevelopmentKeys. O comando usa o parâmetro CustomKeyStoreId para identificar o armazenamento de chaves do AWS CloudHSM e CustomKeyStoreName para especificar o novo nome para o armazenamento de chaves personalizado.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys

O exemplo a seguir altera o cluster associado a um armazenamento de chaves do AWS CloudHSM por outro backup do mesmo cluster. O comando usa o parâmetro CustomKeyStoreId para identificar o armazenamento de chaves do AWS CloudHSM e o parâmetro CloudHsmClusterId para especificar o novo ID do cluster. 

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg

O exemplo a seguir mostra ao AWS KMS que a senha kmsuser atual é ExamplePassword. O comando usa o parâmetro CustomKeyStoreId para identificar o armazenamento de chaves do AWS CloudHSM e o parâmetro KeyStorePassword para especificar a senha atual.

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword

O comando final reconecta o armazenamento de chaves do AWS CloudHSM ao cluster do AWS CloudHSM. É possível deixar o armazenamento de chaves personalizado no estado desconectado, mas ele precisa estar conectado para que seja possível criar chaves do KMS ou usar as chaves do KMS existentes para operações de criptografia. Substitua o ID de exemplo do armazenamento de chaves personalizado por um ID real.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0