Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren Sie die Konnektivität von VPC Endpoint Services
Verwenden Sie die Anleitungen in diesem Abschnitt, um die AWS Ressourcen und zugehörigen Komponenten zu erstellen und zu konfigurieren, die für einen externen Schlüsselspeicher erforderlich sind, der VPCEndpoint Service-Konnektivität verwendet. Die für diese Konnektivitätsoption aufgeführten Ressourcen sind zusätzlich zu den für alle externen Schlüsselspeicher benötigten Ressourcen erforderlich. Nachdem Sie die erforderlichen Ressourcen erstellt und konfiguriert haben, können Sie den externen Schlüsselspeicher erstellen.
Sie können Ihren externen Schlüsselspeicher-Proxy in Ihrem Amazon suchen VPC oder den Proxy außerhalb von Amazon suchen AWS und Ihren VPC Endpunktservice für die Kommunikation verwenden.
Bevor Sie beginnen, vergewissern Sie sich, dass Sie einen externen Schlüsselspeicher benötigen. Die meisten Kunden können KMS Schlüssel verwenden, hinter denen AWS KMS Schlüsselmaterial steht.
Anmerkung
Einige der Elemente, die für die VPC Endpoint Service-Konnektivität erforderlich sind, sind möglicherweise in Ihrem externen Schlüsselmanager enthalten. Außerdem gelten unter Umständen für Ihre Software zusätzliche Konfigurationsanforderungen. Bevor Sie die AWS Ressourcen in diesem Abschnitt erstellen und konfigurieren, sollten Sie die Dokumentation zu Ihrem Proxy und Key Manager lesen.
Themen
- Anforderungen für die Konnektivität von VPC Endpoint Services
- Schritt 1: Amazon VPC und Subnetze erstellen
- Schritt 2: Erstellen Sie eine Zielgruppe
- Schritt 3: Erstellen Sie einen Netzwerk-Loadbalancer
- Schritt 4: Erstellen Sie einen VPC Endpunktdienst
- Schritt 5: Verifizieren Sie Ihre private DNS Namensdomäne
- Schritt 6: Autorisieren Sie AWS KMS die Verbindung zum VPC Endpoint Service
Anforderungen für die Konnektivität von VPC Endpoint Services
Wenn Sie VPC Endpoint Service-Konnektivität für Ihren externen Schlüsselspeicher wählen, sind die folgenden Ressourcen erforderlich.
Um die Netzwerklatenz zu minimieren, erstellen Sie Ihre AWS Komponenten im unterstützten Bereich AWS-Region, der Ihrem externen Schlüsselmanager am nächsten kommt. Wählen Sie nach Möglichkeit eine Region mit einer Netzwerk-Round-Trip-Zeit (RTT) von 35 Millisekunden oder weniger.
-
Ein AmazonVPC, das mit Ihrem externen Schlüsselmanager verbunden ist. Sie muss über mindestens zwei private Subnetze in zwei verschiedenen Availability Zones verfügen.
Sie können ein vorhandenes Amazon VPC für Ihren externen Schlüsselspeicher verwenden, sofern es die Anforderungen für die Verwendung mit einem externen Schlüsselspeicher erfüllt. Mehrere externe Schlüsselspeicher können sich einen Amazon teilenVPC, aber jeder externe Schlüsselspeicher muss seinen eigenen VPC Endpunktdienst und seinen eigenen privaten DNS Namen haben.
-
Ein VPCAmazon-Endpunktservice, der AWS PrivateLink mit einem Netzwerk-Loadbalancer und einer Zielgruppe betrieben wird.
Der Endpunktservice darf keine Akzeptanz verlangen. Außerdem müssen Sie AWS KMS als zulässigen Prinzipal hinzufügen. Auf diese Weise können AWS KMS Schnittstellen-Endpunkte erstellt werden, sodass sie mit Ihrem externen Schlüsselspeicher-Proxy kommunizieren können.
-
Ein privater DNS Name für den VPC Endpunktdienst, der in seiner AWS-Region Art einzigartig ist.
Der private DNS Name muss eine Subdomain einer übergeordneten öffentlichen Domain sein. Wenn der private DNS Name beispielsweise lautet
myproxy-private.xks.example.com, muss es sich um eine Subdomain einer öffentlichen Domain wie oder handeln.xks.example.comexample.comSie müssen die Inhaberschaft der DNS Domain für den privaten DNS Namen verifizieren.
-
Ein von einer unterstützten öffentlichen TLS Zertifizierungsstelle ausgestelltes Zertifikat
für Ihren externen Schlüsselspeicher-Proxy. Der allgemeine Name (CN) des Antragstellers auf dem TLS Zertifikat muss mit dem privaten DNS Namen übereinstimmen. Wenn der private DNS Name beispielsweise lautet
myproxy-private.xks.example.com, muss der CN auf dem TLS Zertifikatmyproxy-private.xks.example.comoder lauten*.xks.example.com.
Alle Anforderungen für einen externen Schlüsselspeicher finden Sie in den Informationen zum Erfüllen der Voraussetzungen.
Schritt 1: Amazon VPC und Subnetze erstellen
VPCEndpoint Service Connectivity erfordert ein AmazonVPC, das mit mindestens zwei privaten Subnetzen mit Ihrem externen Schlüsselmanager verbunden ist. Sie können ein Amazon erstellen VPC oder ein vorhandenes Amazon verwendenVPC, das die Anforderungen für externe Schlüsselgeschäfte erfüllt. Hilfe bei der Erstellung eines neuen Amazon VPC finden Sie unter Create a VPC im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch.
Anforderungen für Ihr Amazon VPC
Um mit externen Schlüsselspeichern arbeiten zu können, die VPC Endpoint Service Connectivity verwenden, VPC muss Amazon über die folgenden Eigenschaften verfügen:
-
Muss sich in derselben Region AWS-Konto befinden und unterstützt werden wie Ihr externer Schlüsselspeicher.
-
Sie muss über mindestens zwei private Subnetze verfügen, die in verschiedenen Availability Zones sind.
-
Der private IP-Adressbereich Ihres Amazon VPC darf sich nicht mit dem privaten IP-Adressbereich des Rechenzentrums überschneiden, in dem Ihr externer Schlüsselmanager gehostet wird.
-
Alle Komponenten müssen verwendet werdenIPv4.
Sie haben viele Möglichkeiten, Amazon mit Ihrem externen Schlüsselspeicher-Proxy VPC zu verbinden. Wählen Sie eine Option aus, die Ihre Leistungs- und Sicherheitsanforderungen erfüllt. Eine Liste finden Sie unter Connect anderen Netzwerken und Network-to-Amazon VPCVerbindungsoptionen. VPC Weitere Informationen finden Sie im AWS Direct Connect und im AWS Site-to-Site VPN -Benutzerhandbuch.
Amazon VPC für Ihren externen Schlüsselspeicher erstellen
Verwenden Sie die folgenden Anweisungen, um das Amazon VPC für Ihren externen Schlüsselspeicher zu erstellen. Ein Amazon VPC ist nur erforderlich, wenn Sie die Option VPCEndpoint Service Connectivity wählen. Sie können ein vorhandenes Amazon verwendenVPC, das die Anforderungen für einen externen Schlüsselspeicher erfüllt.
Folgen Sie den Anweisungen im Thema Create aVPC, Subnets und andere VPC Ressourcen und verwenden Sie dabei die folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Value (Wert) |
|---|---|
| IPv4CIDRblockieren | Geben Sie die IP-Adressen für Ihre einVPC. Der private IP-Adressbereich Ihres Amazon VPC darf sich nicht mit dem privaten IP-Adressbereich des Rechenzentrums überschneiden, in dem Ihr externer Schlüsselmanager gehostet wird. |
| Anzahl der Availability Zones (AZs) | 2 oder mehr |
| Number of public subnets (Anzahl der öffentlichen Subnetze) |
Keine erforderlich (0) |
| Number of private subnets (Anzahl der privaten Subnetze) | Eines pro AZ |
| NATGateways | Keine erforderlich |
| VPCEndpunkte | Keine erforderlich |
| Aktivieren Sie Hostnamen DNS | Ja |
| Auflösung aktivieren DNS | Ja |
Testen Sie unbedingt Ihre VPC Kommunikation. Wenn sich Ihr externer Schlüsselspeicher-Proxy beispielsweise nicht in Ihrem Amazon befindetVPC, erstellen Sie eine EC2 Amazon-Instance in Ihrem Amazon und stellen Sie sicherVPC, dass Amazon mit Ihrem externen Schlüsselspeicher-Proxy kommunizieren VPC kann.
Verbindung VPC zum externen Schlüsselmanager herstellen
Stellen VPC Sie mithilfe einer der von Amazon VPC unterstützten Netzwerkverbindungsoptionen eine Verbindung zu dem Rechenzentrum her, das Ihren externen Schlüsselmanager hostet. Stellen Sie sicher, dass die EC2 Amazon-Instance im VPC (oder der externe Schlüsselspeicher-Proxy, falls er sich im befindetVPC) mit dem Rechenzentrum und dem externen Schlüsselmanager kommunizieren kann.
Schritt 2: Erstellen Sie eine Zielgruppe
Bevor Sie den erforderlichen VPC Endpunktdienst erstellen, erstellen Sie die erforderlichen Komponenten, einen Network Load Balancer (NLB) und eine Zielgruppe. Der Network Load Balancer (NLB) verteilt Anfragen auf mehrere fehlerfreie Ziele, von denen jedes die Anfrage bearbeiten kann. In diesem Schritt erstellen Sie eine Zielgruppe mit mindestens zwei Hosts für Ihren externen Schlüsselspeicher-Proxy und registrieren Ihre IP-Adressen bei der Zielgruppe.
Folgen Sie den Anweisungen im Thema Konfigurieren einer Zielgruppe und verwenden Sie dabei die folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Wert |
|---|---|
| Target type (Zieltyp) | IP-Adressen |
| Protocol (Protokoll) | TCP |
| Port |
443 |
| IP address type (IP-Adresstyp) | IPv4 |
| VPC | Wählen Sie den VPC Ort aus, an dem Sie den VPC Endpunktdienst für Ihren externen Schlüsselspeicher erstellen möchten. |
| Health check protocol and path (Zustandsprüfungs-Protokoll und -Pfad) | Ihr Zustandsprüfungs-Protokoll und Ihr Zustandsprüfungs-Pfad werden sich von der Konfiguration für Ihren externen Schlüsselspeicher-Proxy unterscheiden. Weitere Informationen finden Sie in der Dokumentation für Ihren externen Schlüsselmanager oder externen Schlüsselspeicher-Proxy. Allgemeine Informationen zum Konfigurieren von Zustandsprüfungen für Ihre Zielgruppen finden Sie unter Zustandsprüfungen für Ihre Zielgruppen im Benutzerhandbuch zum Elastic Load Balancing für Network Load Balancer. |
| Network (Netzwerk) | Andere private IP-Adresse |
| IPv4Adresse | Die privaten Adressen für Ihren externen Schlüsselspeicher-Proxy |
| Ports | 443 |
Schritt 3: Erstellen Sie einen Netzwerk-Loadbalancer
Der Network Load Balancer verteilt die Netzwerkzugriffe, einschließlich Anfragen von AWS KMS an Ihren externen Schlüsselspeicher-Proxy, an die konfigurierten Ziele.
Folgen Sie den Anweisungen im Thema Konfigurieren eines Load Balancers und eines Listeners, um unter Verwendung der folgenden erforderlichen Werte einen Listener zu konfigurieren und hinzuzufügen und einen Load Balancer zu erstellen. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Wert |
|---|---|
| Scheme (Schema) | Intern |
| IP-Adresstyp | IPv4 |
| Netzwerkzuordnung |
Wählen Sie den VPC Ort aus, an dem Sie den VPC Endpunktdienst für Ihren externen Schlüsselspeicher erstellen möchten. |
| Mapping (Zuordnung) | Wählen Sie beide Verfügbarkeitszonen (mindestens zwei) aus, die Sie für Ihre VPC Subnetze konfiguriert haben. Verifizieren Sie die Namen der Subnetze und die private IP-Adresse. |
| Protokoll | TCP |
| Port | 443 |
| Default action: Forward to (Standardaktion: Weiterleiten an) | Wählen Sie die Zielgruppe für Ihren Network Load Balancer aus. |
Schritt 4: Erstellen Sie einen VPC Endpunktdienst
Normalerweise erstellen Sie einen Endpunkt für einen Service. Wenn Sie jedoch einen VPC Endpunktdienst erstellen, sind Sie der Anbieter und erstellen AWS KMS einen Endpunkt für Ihren Dienst. Erstellen Sie für einen externen Schlüsselspeicher einen VPC Endpunktdienst mit dem Network Load Balancer, den Sie im vorherigen Schritt erstellt haben. Der VPC Endpunktdienst muss sich in derselben AWS-Konto unterstützten Region wie Ihr externer Schlüsselspeicher befinden.
Mehrere externe Schlüsselspeicher können sich einen Amazon teilenVPC, aber jeder externe Schlüsselspeicher muss seinen eigenen VPC Endpunktdienst und seinen eigenen privaten DNS Namen haben.
Folgen Sie den Anweisungen im Thema Endpunktservice erstellen, um Ihren VPC Endpunktservice mit den folgenden erforderlichen Werten zu erstellen. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Wert |
|---|---|
| Load balancer type (Load Balancer-Typ) | Network (Netzwerk) |
| Available load balancers (Verfügbare Load Balancer) | Wählen Sie den Network Load Balancer aus, den Sie im vorherigen Schritt erstellt haben. Falls Ihr neuer Load Balancer nicht in der Liste aufgeführt wird, stellen Sie sicher, dass er aktiv ist. Es kann einige Minuten dauern, bis der Zustand des Load Balancers von der Bereitstellung in den aktiven Status ändert. |
| Acceptance required (Akzeptanz erforderlich) | Falsch. Wählen Sie dieses Kontrollkästchen ab. Erfordert keine Annahme. AWS KMS kann ohne eine manuelle Annahme keine Verbindung zum VPC Endpunktdienst herstellen. Wenn die Akzeptanz erforderlich ist, schlägt das Erstellen des externen Schlüsselspeichers mit einer |
| Aktivieren Sie den privaten DNS Namen | Ordnen Sie dem Dienst einen privaten DNS Namen zu |
| Privater DNS Name | Geben Sie einen privaten DNS Namen ein, der in seiner Art einzigartig ist AWS-Region. Der private DNS Name muss eine Subdomain einer übergeordneten öffentlichen Domain sein. Wenn der private DNS Name beispielsweise lautet Dieser private DNS Name muss mit dem allgemeinen Namen (Subject Common Name, CN) in dem TLS Zertifikat übereinstimmen, das auf Ihrem externen Schlüsselspeicher-Proxy konfiguriert ist. Wenn der private DNS Name beispielsweise lautet Wenn das Zertifikat und der private DNS Name nicht übereinstimmen, schlagen Versuche, einen externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy zu verbinden, mit dem Verbindungsfehlercode fehl |
| Supported IP address types (Unterstützte IP-Adresstypen) | IPv4 |
Schritt 5: Verifizieren Sie Ihre private DNS Namensdomäne
Wenn Sie Ihren VPC Endpunktdienst erstellen, lautet der Status der DomainverifizierungpendingVerification. Bevor Sie den VPC Endpunktdienst zum Erstellen eines externen Schlüsselspeichers verwenden können, muss dieser Status lautenverified. Um zu überprüfen, ob Sie Eigentümer der mit Ihrem privaten DNS Namen verknüpften Domain sind, müssen Sie einen TXT Datensatz auf einem öffentlichen DNS Server erstellen.
Wenn der private DNS Name für Ihren VPC Endpunktdienst beispielsweise lautetmyproxy-private.xks.example.com, müssen Sie einen TXT Datensatz in einer öffentlichen Domain erstellen, z. B. xks.example.com oder, je nachdemexample.com, welcher öffentlich ist. AWS PrivateLink sucht zuerst am xks.example.com und dann weiter nach dem TXT Datensatz. example.com
Tipp
Nachdem Sie einen TXT Eintrag hinzugefügt haben, kann es einige Minuten dauern, bis der Wert für den Status der Domänenverifizierung von pendingVerification auf geändert wirdverify.
Ermitteln Sie zuerst mithilfe einer der nachfolgenden Methoden, welchen Verifizierungsstatus Ihre Domain hat. Gültige Werte sind verified, pendingVerification und failed.
-
Wählen Sie in der VPCAmazon-Konsole
Endpoint Services und dann Ihren Endpoint Service aus. Im Detailbereich wird Domain verification status (Domain-Verifizierungsstatus) angezeigt. -
Verwenden Sie den DescribeVpcEndpointServiceConfigurationsVorgang. Der Wert für
Stateist im FeldServiceConfigurations.PrivateDnsNameConfiguration.State.
Wenn der Bestätigungsstatus nicht lautetverified, folgen Sie den Anweisungen im Thema Überprüfung des Domainbesitzes, um dem DNS Server Ihrer Domain einen TXT Eintrag hinzuzufügen und zu überprüfen, ob der TXT Eintrag veröffentlicht wurde. Überprüfen Sie den Verifizierungsstatus danach erneut.
Sie sind nicht verpflichtet, einen A-Eintrag für den privaten DNS Domainnamen zu erstellen. Wenn AWS KMS ein Schnittstellenendpunkt zu Ihrem VPC Endpunktdienst erstellt wird, wird AWS PrivateLink automatisch eine gehostete Zone mit dem erforderlichen A-Eintrag für den privaten Domainnamen in der erstellt AWS KMS VPC. Bei externen Schlüsselspeichern mit VPC Endpunktdienst-Konnektivität passiert dies, wenn Sie Ihren externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbinden.
Schritt 6: Autorisieren Sie AWS KMS die Verbindung zum VPC Endpoint Service
Sie müssen der Liste der AWS KMS zugelassenen Prinzipale für Ihren VPC Endpunktdienst etwas hinzufügen. Auf diese Weise können AWS KMS Sie Schnittstellen-Endpunkte für Ihren VPC Endpunktdienst erstellen. Wenn dies kein zulässiger Prinzipal AWS KMS ist, schlagen Versuche, einen externen Schlüsselspeicher zu erstellen, mit einer XksProxyVpcEndpointServiceNotFoundException Ausnahme fehl.
Folgen Sie den Anweisungen im Thema Verwalten von Berechtigungen im AWS PrivateLink -Benutzerhandbuch. Verwenden Sie den folgenden erforderlichen Wert.
| Feld | Value (Wert) |
|---|---|
| ARN | cks.kms.Beispiel: |
Weiter: Erstellen Sie einen externen Schlüsselspeicher
