Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden Sie die Anleitungen in diesem Abschnitt, um die AWS Ressourcen und zugehörigen Komponenten zu erstellen und zu konfigurieren, die für einen externen Schlüsselspeicher erforderlich sind, der VPC-Endpunktdienstkonnektivität verwendet. Die für diese Konnektivitätsoption aufgeführten Ressourcen sind zusätzlich zu den für alle externen Schlüsselspeicher benötigten Ressourcen erforderlich. Nachdem Sie die erforderlichen Ressourcen erstellt und konfiguriert haben, können Sie den externen Schlüsselspeicher erstellen.
Sie können Ihren externen Schlüsselspeicher-Proxy in Ihrer Amazon VPC oder den Proxy außerhalb von VPC lokalisieren AWS und Ihren VPC-Endpunktservice für die Kommunikation verwenden.
Bevor Sie beginnen, vergewissern Sie sich, dass Sie einen externen Schlüsselspeicher benötigen. Die meisten Kunden können KMS-Schlüssel verwenden, die durch AWS KMS Schlüsselmaterial unterstützt werden.
Anmerkung
Einige der Elemente, die für die Konnektivität eines VPC-Endpunktservice erforderlich sind, sind möglicherweise in Ihrem externen Schlüsselmanager enthalten. Außerdem gelten unter Umständen für Ihre Software zusätzliche Konfigurationsanforderungen. Bevor Sie die AWS Ressourcen in diesem Abschnitt erstellen und konfigurieren, sollten Sie die Dokumentation zu Ihrem Proxy und Key Manager lesen.
Themen
Anforderungen für die Konnektivität eines VPC-Endpunktservice
Wenn Sie sich für Ihren externen Schlüsselspeicher für die Konnektivität eines VPC-Endpunktservice entscheiden, sind die folgenden Ressourcen erforderlich.
Um die Netzwerklatenz zu minimieren, erstellen Sie Ihre AWS Komponenten in der unterstützten Version AWS-Region, die Ihrem externen Schlüsselmanager am nächsten kommt. Wählen Sie nach Möglichkeit eine Region mit einer Netzwerk-Round-Trip-Zeit (RTT) von maximal 35 Millisekunden.
-
Eine Amazon VPC, die mit Ihrem externen Schlüsselmanager verbunden ist. Sie muss über mindestens zwei private Subnetze in zwei verschiedenen Availability Zones verfügen.
Sie können eine vorhandene Amazon VPC für Ihren externen Schlüsselspeicher verwenden, sofern diese die Anforderungen für die Verwendung mit einem externen Schlüsselspeicher erfüllt. Mehrere externe Schlüsselspeicher können sich eine Amazon VPC teilen, aber jeder externe Schlüsselspeicher muss seinen eigenen VPC-Endpunktservice und privaten DNS-Namen haben.
-
Ein Amazon VPC-Endpunktservice, der von AWS PrivateLink unterstützt wird, mit einem Network Load Balancer und einer Zielgruppe.
Der Endpunktservice darf keine Akzeptanz verlangen. Außerdem müssen Sie AWS KMS als zulässigen Prinzipal hinzufügen. Auf diese Weise können AWS KMS Schnittstellen-Endpunkte erstellt werden, sodass sie mit Ihrem externen Schlüsselspeicher-Proxy kommunizieren können.
-
Ein privater DNS-Name für den VPC-Endpunktservice, der in seiner AWS-Region eindeutig ist.
Der private DNS-Name muss eine Subdomain einer öffentlichen Domain höherer Ebene sein. Wenn der private DNS-Name beispielsweise
myproxy-private.xks.example.comlautet, muss er eine Subdomain einer öffentlichen Domain wiexks.example.comoderexample.comsein.Sie müssen den Besitz der DNS-Domain für den privaten DNS-Namen bestätigen.
-
Ein TLS-Zertifikat für Ihren externen Schlüsselspeicher-Proxy, das von einer unterstützten öffentlichen Zertifizierungsstelle
ausgestellt wurde. Der Subject Common Name (CN) auf dem TLS-Zertifikat muss mit dem privaten DNS-Namen übereinstimmen. Wenn der private DNS-Name beispielsweise
myproxy-private.xks.example.comlautet, muss der CN auf dem TLS-Zertifikatmyproxy-private.xks.example.comoder*.xks.example.comlauten.
Alle Anforderungen für einen externen Schlüsselspeicher finden Sie in den Informationen zum Erfüllen der Voraussetzungen.
Schritt 1: Amazon-VPC und Subnetze erstellen
Die Konnektivität eines VPC-Endpunktservice erfordert eine Amazon VPC, die mit Ihrem externen Schlüsselmanager mit mindestens zwei privaten Subnetzen verbunden ist. Sie können eine Amazon VPC erstellen oder eine vorhandene Amazon VPC verwenden, die die Anforderungen für externe Schlüsselspeicher erfüllt. Informationen zum Erstellen einer neuen Amazon VPC finden Sie unter Erstellen einer VPC im Amazon Virtual Private Cloud-Benutzerhandbuch.
Anforderungen für Ihre Amazon VPC
Damit Sie unter Verwendung der Konnektivität eines VPC-Endpunktservice mit externen Schlüsselspeichern arbeiten können, muss die Amazon VPC die folgenden Eigenschaften haben:
-
Muss sich in derselben Region befinden AWS-Konto und unterstützt werden wie Ihr externer Schlüsselspeicher.
-
Sie muss über mindestens zwei private Subnetze verfügen, die in verschiedenen Availability Zones sind.
-
Der private IP-Adressbereich Ihrer Amazon VPC darf sich nicht mit dem privaten IP-Adressbereich des Rechenzentrums überschneiden, von dem Ihr externer Schlüsselmanager gehostet wird.
-
Alle Komponenten müssen verwendet werden IPv4.
Sie haben zahlreiche Möglichkeiten, die Amazon VPC mit Ihrem externen Schlüsselspeicher-Proxy zu verbinden. Wählen Sie eine Option aus, die Ihre Leistungs- und Sicherheitsanforderungen erfüllt. Eine Liste finden Sie unter Connect Ihrer VPC mit anderen Netzwerken und Network-to-Amazon VPC-Konnektivitätsoptionen. Weitere Informationen finden Sie im AWS Direct Connect und im AWS Site-to-Site VPN -Benutzerhandbuch.
Erstellen einer Amazon VPC für Ihren externen Schlüsselspeicher
Verwenden Sie folgende Anweisungen zum Erstellen der Amazon VPC für Ihren externen Schlüsselspeicher. Eine Amazon VPC ist nur erforderlich, wenn Sie die Option Konnektivität eines VPC-Endpunktservice auswählen. Sie können eine vorhandene Amazon VPC verwenden, die die Anforderungen für einen externen Schlüsselspeicher erfüllt.
Folgen Sie den Anweisungen im Thema Erstellen einer VPC sowie von Subnetzen und anderen VPC-Ressourcen und verwenden Sie dabei die folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Value (Wert) |
|---|---|
| IPv4 CIDR-Block | Geben Sie die IP-Adressen für Ihre VPC ein. Der private IP-Adressbereich Ihrer Amazon VPC darf sich nicht mit dem privaten IP-Adressbereich des Rechenzentrums überschneiden, von dem Ihr externer Schlüsselmanager gehostet wird. |
| Anzahl der Availability Zones () AZs | 2 oder mehr |
| Number of public subnets (Anzahl der öffentlichen Subnetze) |
Keine erforderlich (0) |
| Number of private subnets (Anzahl der privaten Subnetze) | Eines pro AZ |
| NAT gateways (NAT-Gateways) | Keine erforderlich |
| VPC endpoints (VPC-Endpunkte) | Keine erforderlich |
| Enable DNS hostnames (DNS-Hostnamen aktivieren) | Ja |
| Enable DNS resolution (DNS-Auflösung aktivieren) | Ja |
Testen Sie unbedingt die VPC-Kommunikation. Wenn sich Ihr externer Schlüsselspeicher-Proxy beispielsweise nicht in Ihrer Amazon VPC befindet, erstellen Sie eine EC2 Amazon-Instance in Ihrer Amazon VPC und stellen Sie sicher, dass die Amazon VPC mit Ihrem externen Schlüsselspeicher-Proxy kommunizieren kann.
Verbinden der VPC mit dem externen Schlüsselmanager
Verbinden Sie die VPC mit dem Rechenzentrum, von dem Ihr externer Schlüsselmanager unter Verwendung einer der von Amazon VPC unterstützten Netzwerkkonnektivitätsoptionen gehostet wird. Stellen Sie sicher, dass die EC2 Amazon-Instance in der VPC (oder der externe Schlüsselspeicher-Proxy, falls er sich in der VPC befindet) mit dem Rechenzentrum und dem externen Schlüsselmanager kommunizieren kann.
Schritt 2: Erstellen Sie eine Zielgruppe
Bevor Sie den erforderlichen VPC-Endpunktservice erstellen, erstellen Sie die zugehörigen erforderlichen Komponenten, einen Network Load Balancer (NLB) und eine Zielgruppe. Der NLB verteilt die Anfragen an mehrere fehlerfreie Ziele, von denen jedes die Anfrage erfüllen kann. In diesem Schritt erstellen Sie eine Zielgruppe mit mindestens zwei Hosts für Ihren externen Schlüsselspeicher-Proxy und registrieren Ihre IP-Adressen bei der Zielgruppe.
Folgen Sie den Anweisungen im Thema Konfigurieren einer Zielgruppe und verwenden Sie dabei die folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Wert |
|---|---|
| Target type (Zieltyp) | IP-Adressen |
| Protocol (Protokoll) | TCP |
| Port |
443 |
| IP address type (IP-Adresstyp) | IPv4 |
| VPC | Wählen Sie die VPC aus, in der Sie den VPC-Endpunktservice für Ihren externen Schlüsselspeicher erstellen werden. |
| Health check protocol and path (Zustandsprüfungs-Protokoll und -Pfad) | Ihr Zustandsprüfungs-Protokoll und Ihr Zustandsprüfungs-Pfad werden sich von der Konfiguration für Ihren externen Schlüsselspeicher-Proxy unterscheiden. Weitere Informationen finden Sie in der Dokumentation für Ihren externen Schlüsselmanager oder externen Schlüsselspeicher-Proxy. Allgemeine Informationen zum Konfigurieren von Zustandsprüfungen für Ihre Zielgruppen finden Sie unter Zustandsprüfungen für Ihre Zielgruppen im Benutzerhandbuch zum Elastic Load Balancing für Network Load Balancer. |
| Network (Netzwerk) | Andere private IP-Adresse |
| IPv4 Adresse | Die privaten Adressen für Ihren externen Schlüsselspeicher-Proxy |
| Ports | 443 |
Schritt 3: Erstellen Sie einen Netzwerk-Loadbalancer
Der Network Load Balancer verteilt die Netzwerkzugriffe, einschließlich Anfragen von AWS KMS an Ihren externen Schlüsselspeicher-Proxy, an die konfigurierten Ziele.
Folgen Sie den Anweisungen im Thema Konfigurieren eines Load Balancers und eines Listeners, um unter Verwendung der folgenden erforderlichen Werte einen Listener zu konfigurieren und hinzuzufügen und einen Load Balancer zu erstellen. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Wert |
|---|---|
| Scheme (Schema) | Intern |
| IP-Adresstyp | IPv4 |
| Network mapping (Netzwerkzuordnung) |
Wählen Sie die VPC aus, in der Sie den VPC-Endpunktservice für Ihren externen Schlüsselspeicher erstellen werden. |
| Mapping (Zuordnung) | Wählen Sie die beiden Availability Zones (mindestens zwei) aus, die Sie für Ihre VPC-Subnetze konfiguriert haben. Verifizieren Sie die Namen der Subnetze und die private IP-Adresse. |
| Protocol (Protokoll) | TCP |
| Port | 443 |
| Default action: Forward to (Standardaktion: Weiterleiten an) | Wählen Sie die Zielgruppe für Ihren Network Load Balancer aus. |
Schritt 4: Erstellen Sie einen VPC-Endpunktdienst
Normalerweise erstellen Sie einen Endpunkt für einen Service. Wenn Sie jedoch einen VPC-Endpunktdienst erstellen, sind Sie der Anbieter und erstellen einen AWS KMS Endpunkt für Ihren Service. Für einen externen Schlüsselspeicher erstellen Sie einen VPC-Endpunktservice mit dem Network Load Balancer, den Sie im vorherigen Schritt erstellt haben. Der VPC-Endpunktdienst muss sich in derselben AWS-Konto unterstützten Region wie Ihr externer Schlüsselspeicher befinden.
Mehrere externe Schlüsselspeicher können sich eine Amazon VPC teilen, aber jeder externe Schlüsselspeicher muss seinen eigenen VPC-Endpunktservice und privaten DNS-Namen haben.
Folgen Sie den Anweisungen im Thema Erstellen eines Endpunktservice, um Ihren VPC-Endpunktservice mit den folgenden erforderlichen Werten zu erstellen. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Wert |
|---|---|
| Load balancer type (Load Balancer-Typ) | Network (Netzwerk) |
| Available load balancers (Verfügbare Load Balancer) | Wählen Sie den Network Load Balancer aus, den Sie im vorherigen Schritt erstellt haben. Falls Ihr neuer Load Balancer nicht in der Liste aufgeführt wird, stellen Sie sicher, dass er aktiv ist. Es kann einige Minuten dauern, bis der Zustand des Load Balancers von der Bereitstellung in den aktiven Status ändert. |
| Acceptance required (Akzeptanz erforderlich) | Falsch. Wählen Sie dieses Kontrollkästchen ab. Erfordert keine Annahme. AWS KMS kann ohne eine manuelle Annahme keine Verbindung zum VPC-Endpunktdienst herstellen. Wenn die Akzeptanz erforderlich ist, schlägt das Erstellen des externen Schlüsselspeichers mit einer |
| Enable private DNS name (Privaten DNS-Namen aktivieren) | Ordnen Sie dem Service einen privaten DNS-Namen zu. |
| Private DNS name (Privater DNS-Name) | Geben Sie einen privaten DNS-Namen ein, der in seiner AWS-Region eindeutig ist. Der private DNS-Name muss eine Subdomain einer öffentlichen Domain höherer Ebene sein. Wenn der private DNS-Name beispielsweise Dieser private DNS-Name muss mit dem Subject Common Name (CN) im TLS-Zertifikat übereinstimmen, das auf Ihrem externen Schlüsselspeicher-Proxy konfiguriert ist. Wenn der private DNS-Name beispielsweise Falls das Zertifikat und der private DNS-Name nicht übereinstimmen, schlagen Versuche, einen externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy zu verbinden, mit dem Verbindungsfehlercode |
| Supported IP address types (Unterstützte IP-Adresstypen) | IPv4 |
Schritt 5: Überprüfen Sie Ihre private DNS-Namensdomäne
Wenn Sie einen VPC-Endpunktservice erstellen, lautet der Verfizierungsstatus für die zugehörige Domain pendingVerification. Bevor Sie den VPC-Endpunktservice verwenden, um einen externen Schlüsselspeicher zu erstellen, muss dieser Status verified lauten. Um zu bestätigen, dass Sie der Besitzer der Domain sind, die Ihrem privaten DNS-Namen zugeordnet ist, müssen Sie einen TXT-Datensatz in einem öffentlichen DNS-Server erstellen.
Wenn der private DNS-Name für Ihren VPC-Endpunktdienst beispielsweise lautetmyproxy-private.xks.example.com, müssen Sie einen TXT-Eintrag in einer öffentlichen Domain erstellen, z. B. xks.example.com oder, je nachdemexample.com, was öffentlich ist. AWS PrivateLink sucht zuerst am xks.example.com und dann weiter nach dem TXT-Eintrag. example.com
Tipp
Nachdem Sie einen TXT-Datensatz hinzugefügt haben, kann es einige Minuten dauern, bis sich der Wert von Domain verification status (Domain-Verifizierungsstatus) von pendingVerification in verify ändert.
Ermitteln Sie zuerst mithilfe einer der nachfolgenden Methoden, welchen Verifizierungsstatus Ihre Domain hat. Gültige Werte sind verified, pendingVerification und failed.
-
Wählen Sie in der Amazon VPC-Konsole
die Option Endpoint services (Endpunktservices) und dann Ihren Endpunktservice aus. Im Detailbereich wird Domain verification status (Domain-Verifizierungsstatus) angezeigt. -
Verwenden Sie die DescribeVpcEndpointServiceConfigurationsOperation. Der Wert für
Stateist im FeldServiceConfigurations.PrivateDnsNameConfiguration.State.
Sollte der Verifizierungsstatus nicht verified lauten, folgen Sie den Anweisungen im Thema Domain-Eigentumsüberprüfung, um dem DNS-Server Ihrer Domain einen TXT-Datensatz hinzuzufügen und zu verifizieren, dass der TXT-Datensatz veröffentlicht wird. Überprüfen Sie den Verifizierungsstatus danach erneut.
Sie sind nicht dazu verpflichtet, einen A-Datensatz für den Namen Ihrer privaten DNS-Domain zu erstellen. Wenn AWS KMS Sie einen Schnittstellenendpunkt zu Ihrem VPC-Endpunktdienst erstellen, wird AWS PrivateLink automatisch eine gehostete Zone mit dem erforderlichen A-Eintrag für den privaten Domainnamen in der AWS KMS VPC erstellt. Für externe Schlüsselspeicher mit der Konnektivität eines VPC-Endpunktservice geschieht dies, wenn Sie Ihren externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbinden.
Schritt 6: Autorisieren Sie die Verbindung AWS KMS zum VPC-Endpunktdienst
Sie müssen der Liste der erlaubten Prinzipale für Ihren VPC-Endpunktdienst etwas hinzufügen AWS KMS . Dies ermöglicht AWS KMS die Erstellung von Schnittstellenendpunkten zu Ihrem VPC-Endpunktdienst. Wenn dies kein zulässiger Prinzipal AWS KMS ist, schlagen Versuche, einen externen Schlüsselspeicher zu erstellen, mit einer XksProxyVpcEndpointServiceNotFoundException Ausnahme fehl.
Folgen Sie den Anweisungen im Thema Verwalten von Berechtigungen im AWS PrivateLink -Benutzerhandbuch. Verwenden Sie den folgenden erforderlichen Wert.
| Feld | Wert |
|---|---|
| ARN | cks.kms.Beispiel: |
Weiter: Erstellen Sie einen externen Schlüsselspeicher
