Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Elección de una opción de conectividad proxy del almacén de claves externo
Antes de crear el almacén de claves externo, elija la opción de conectividad que determina la forma en que AWS KMS se comunica con los componentes del almacén de claves externo. La opción de conectividad que elija determina el resto del proceso de planificación.
Si está creando un almacén de claves externo, debe determinar cómo AWS KMS se comunica con su proxy del almacén de claves externo. Esta elección determinará qué componentes necesita y cómo configurarlos. AWS KMS admite las siguientes opciones de conectividad. Elija la opción que se ajuste a sus objetivos de rendimiento y seguridad.
Antes de empezar, confirme que necesita un almacén de claves externo. La mayoría de los clientes pueden usar claves de KMS respaldadas por material de claves de AWS KMS.
nota
Si el proxy del almacén de claves externo está integrado en el administrador de claves externo, es posible que la conectividad esté predeterminada. Para obtener orientación, consulte la documentación de su administrador de claves externo o proxy del almacén de claves externo.
Puede cambiar la opción de conectividad proxy del almacén de claves externo incluso en un almacén de claves externo en funcionamiento. Sin embargo, el proceso debe planificarse y ejecutarse en detalle para minimizar las interrupciones, evitar errores y garantizar el acceso continuo a las claves criptográficas que cifran los datos.
Conectividad de punto de conexión público
AWS KMS se conecta al proxy del almacén de claves externo (proxy XKS) a través de Internet mediante un punto de conexión público.
Esta opción de conectividad es más fácil de configurar y mantener, y se alinea bien con algunos modelos de administración de claves. Sin embargo, es posible que no cumpla con los requisitos de seguridad de algunas organizaciones.
Requisitos
Si elige la conectividad de punto de conexión público, se requiere lo siguiente.
-
El proxy de su almacén de claves externo debe estar accesible en un punto de conexión que se pueda enrutar públicamente.
-
Puede utilizar el mismo punto de conexión público para varios almacenes de claves externos, siempre que utilicen valores de ruta URI de proxy diferentes.
-
No puede utilizar el mismo punto de conexión para un almacén de claves externo con conectividad de punto de conexión público y ningún almacén de claves externo con conectividad de servicios de punto de conexión de VPC en la misma Región de AWS, incluso si los almacenes de claves se encuentran en diferentes ubicaciones de Cuentas de AWS.
-
Debe obtener un certificado TLS emitido por una autoridad de certificación pública compatible con almacenes de claves externos. Para obtener una lista, consulte Autoridades de certificación de confianza
. El nombre común del sujeto (CN) en el certificado TLS debe coincidir con el nombre de dominio en el punto de conexión URI del proxy para el proxy del almacén de claves externo. Por ejemplo, si el punto de conexión público es
https://myproxy.xks.example.com
, el TLS, el CN del certificado TLS debe sermyproxy.xks.example.com
o*.xks.example.com
. -
Asegúrese de que todos los firewalls entre AWS KMS y el proxy del almacén de claves externo permitan el tráfico hacia y desde el puerto 443 del proxy. AWS KMS se comunica en el puerto 443. Este valor no se puede configurar.
Para conocer todos los requisitos de un almacén de claves externo, consulte Ensamblaje de los requisitos previos.
Conectividad del servicio del punto de conexión de VPC
AWS KMS se conecta al proxy del almacén de claves externo (proxy XKS) mediante la creación de un punto de conexión de interfaz para un servicio de punto de conexión de VPC de Amazon que usted cree y configure. Usted es responsable de crear el servicio de punto de conexión de VPC y de conectar la VPC al administrador de claves externo.
Su servicio de punto de conexión puede usar cualquiera de las opciones compatibles de red a una VPC de Amazon para las comunicaciones, incluidos AWS Direct Connect.
Esta opción de conectividad es más complicada de configurar y mantener. Pero usa un AWS PrivateLink, lo que permite a AWS KMS conectarse de forma privada a su VPC de Amazon y a su proxy del almacén de claves externo sin utilizar la Internet pública.
Puede localizar su proxy del almacén de claves externo en su VPC de Amazon.
O ubique su proxy del almacén de claves externo fuera de AWS y use su servicio de punto de conexión de VPC de Amazon solo para una comunicación segura con AWS KMS.
Más información:
-
Revise el proceso de creación de un almacén de claves externo, incluido el ensamblaje de los requisitos previos. Lo ayudará a asegurarse de que dispone de todos los componentes que necesita para crear su almacén de claves externo.
-
Aprenda a controlar el acceso a su almacén de claves externo, incluidos los permisos que requieren los administradores y usuarios del almacén de claves externo.
-
Obtenga información sobre las métricas y dimensiones de Amazon CloudWatch que AWS KMS registra para los almacenes de claves externos. Le recomendamos encarecidamente que cree alarmas para monitorear su almacén de claves externo y así poder detectar los primeros signos de problemas operativos y de rendimiento.