本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 編輯 AWS CloudHSM 金鑰存放區設定
<a name="update-keystore"></a>

您可以變更現有 AWS CloudHSM 金鑰存放區的設定。自訂金鑰存放區必須中斷其 AWS CloudHSM 叢集的連線。

若要編輯 AWS CloudHSM 金鑰存放區設定：

1. [將自訂金鑰存放區](disconnect-keystore.md)從其 AWS CloudHSM 叢集中斷連線。

   當自訂金鑰存放區中斷連線時，您無法在自訂金鑰存放區中建立 AWS KMS keys (KMS 金鑰），也無法使用其包含的 KMS 金鑰進行[密碼編譯操作](manage-cmk-keystore.md#use-cmk-keystore)。

1. 編輯一或多個 AWS CloudHSM 金鑰存放區設定。

   您可以編輯自訂金鑰存放區中的以下設定：  
自訂金鑰存放區的易記名稱。  
輸入新的易記名稱。新名稱在 中的所有自訂金鑰存放區中必須是唯一的 AWS 帳戶。  
請勿在此欄位包含機密或敏感資訊。此欄位可能在 CloudTrail 日誌與其他輸出中以純文字顯示。  
相關聯叢集的 AWS CloudHSM 叢集 ID。  
編輯此值以取代原始叢集的相關 AWS CloudHSM 叢集。如果自訂金鑰存放區叢集 AWS CloudHSM 損毀或刪除，您可以使用此功能來修復自訂金鑰存放區。  
指定與原始 AWS CloudHSM 叢集共用備份歷史記錄[的叢集，並滿足與自訂金鑰存放區關聯的要求](create-keystore.md#before-keystore)，包括在不同的可用區域中的兩個作用中 HSMs。共用備份歷史記錄的叢集具有相同的叢集憑證。若要檢視叢集的叢集憑證，請使用 [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) 操作。您無法使用編輯功能，將自訂金鑰存放區與不相關的 AWS CloudHSM 叢集產生關聯。  
[`kmsuser` 加密使用者](keystore-cloudhsm.md#concept-kmsuser) (CU) 的目前密碼。  
告知叢集中 `kmsuser` AWS CloudHSM CU 的 AWS KMS 目前密碼。此動作不會變更 AWS CloudHSM 叢集中 `kmsuser` CU 的密碼。  
如果您變更 AWS CloudHSM 叢集中 `kmsuser` CU 的密碼，請使用此功能來告知 AWS KMS 新密碼`kmsuser`。否則， AWS KMS 會無法登入叢集，並且將自訂金鑰存放區連接到叢集的所有嘗試都會失敗。

1. [將自訂金鑰存放區重新連接](connect-keystore.md)至其 AWS CloudHSM 叢集。

## 編輯您的金鑰存放區設定
<a name="edit-keystore-settings"></a>

您可以在 AWS KMS 主控台或使用 [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html) 操作來編輯 AWS CloudHSM 金鑰存放區設定。

### 使用 AWS KMS 主控台
<a name="update-keystore-console"></a>

編輯 AWS CloudHSM 金鑰存放區時，您可以變更任何 或可設定的值。

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS Key Management Service (AWS KMS) 主控台。

1. 若要變更 AWS 區域，請使用頁面右上角的區域選擇器。

1. 在導覽窗格依次選擇**自訂金鑰存放區**、**AWS CloudHSM 金鑰存放區**。

1. 選擇您要編輯的 AWS CloudHSM 金鑰存放區資料列。

   如 **Connection state** (連接狀態) 欄的值不是 **DISCONNECTED** (已中斷連接)，則在編輯之前，您必須先中斷連接自訂金鑰存放區。(從 **Key store actions** (金鑰存放區動作) 選單中，選擇 **Disconnect** (中斷連接)。)

   當 AWS CloudHSM 金鑰存放區中斷連線時，您可以管理 AWS CloudHSM 金鑰存放區及其 KMS 金鑰，但無法在 AWS CloudHSM 金鑰存放區中建立或使用 KMS 金鑰。

1. 從 **Key store actions** (金鑰存放區動作) 選單中，選擇 **Edit** (編輯)。

1. 執行下列其中一或多個動作。
   + 輸入自訂金鑰存放區的易記名稱。
   + 輸入相關叢集的 AWS CloudHSM 叢集 ID。
   + 在關聯的 AWS CloudHSM 叢集中輸入`kmsuser`加密使用者的目前密碼。

1. 選擇**儲存**。

   當程序成功時，會出現訊息描述您編輯的設定。當操作失敗時，會出現錯誤訊息，其中描述問題並提供如何修正的協助。如果您需要更多協助，請參閱[對自訂金鑰存放區進行故障診斷](fix-keystore.md)。

1. [重新連接自訂金鑰存放區。](connect-keystore.md)

   若要使用 AWS CloudHSM 金鑰存放區，您必須在編輯後重新連線。您可以將 AWS CloudHSM 金鑰存放區保持中斷連接。但在中斷連線時，您無法在 AWS CloudHSM 金鑰存放區中建立 KMS 金鑰，或在[密碼編譯操作](manage-cmk-keystore.md#use-cmk-keystore)中使用 AWS CloudHSM 金鑰存放區中的 KMS 金鑰。

### 使用 AWS KMS API
<a name="update-keystore-api"></a>

若要變更 AWS CloudHSM 金鑰存放區的屬性，請使用 [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html) 操作。您可以在相同命令中變更自訂金鑰存放區的多個屬性。如果操作成功， 會 AWS KMS 傳回 HTTP 200 回應和沒有屬性的 JSON 物件。若要確認變更已生效，請使用 [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) 操作。

本節中的範例使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)，但您可以使用任何支援的程式設計語言。

首先使用 [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html) [將自訂金鑰存放區與其叢集中斷連線](disconnect-keystore.md)。 AWS CloudHSM 將範例自訂金鑰存放區 ID cks-1234567890abcdef0 以實際 ID 取代。

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

第一個範例使用 [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html) 將 AWS CloudHSM 金鑰存放區的易記名稱變更為 `DevelopmentKeys`。命令使用 `CustomKeyStoreId` 參數來識別 AWS CloudHSM 金鑰存放區，並使用 `CustomKeyStoreName`來指定自訂金鑰存放區的新名稱。

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys
```

下列範例會將與 AWS CloudHSM 金鑰存放區相關聯的叢集變更為相同叢集的另一個備份。命令使用 `CustomKeyStoreId` 參數來識別 AWS CloudHSM 金鑰存放區，並使用 `CloudHsmClusterId` 參數來指定新的叢集 ID。

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg
```

下列範例 AWS KMS 會告知目前的`kmsuser`密碼為 `ExamplePassword`。命令使用 `CustomKeyStoreId` 參數來識別 AWS CloudHSM 金鑰存放區，並使用 `KeyStorePassword` 參數來指定目前的密碼。

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword
```

最後一個命令會將 AWS CloudHSM 金鑰存放區重新連線至其 AWS CloudHSM 叢集。您可以將自訂金鑰存放區保持在中斷連線狀態，但必須先將其連線，才能建立新的 KMS 金鑰或將現有的 KMS 金鑰用於[密碼編譯操作](manage-cmk-keystore.md#use-cmk-keystore)。將範例自訂金鑰存放區 ID 以實際 ID 取代。

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```