Creación de un almacén de claves externo - AWS Key Management Service
Cumplir los requisitos previosArchivo de configuración del proxyCreación de un almacén de claves externo (consola)Creación de un almacén de claves externo (API)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de un almacén de claves externo

Puede crear uno o varios almacenes de claves externos en cada Cuenta de AWS y región. Cada almacén de claves externo debe estar asociado a un administrador de claves externo fuera de AWS y a un proxy del almacén de claves externo (proxy XKS) que es un mediador de la comunicación entre AWS KMS y su administrador de claves externo. Para obtener más detalles, consulte Planificación de un almacén de claves externo. Antes de empezar, confirme que necesita un almacén de claves externo. La mayoría de los clientes pueden usar claves de KMS respaldadas por material de claves de AWS KMS.

sugerencia

Algunos administradores de claves externos proporcionan un método más sencillo para crear un almacén de claves externo. Para obtener más detalles, consulte la documentación del administrador de claves externo.

Antes de crear un almacén de claves externo, debe cumplir los requisitos previos. Durante el proceso de creación, usted especifica las propiedades del almacén de claves externo. Lo más importante es que indique si su almacén de claves externo en AWS KMS utiliza un punto de conexión público o un servicio del punto de conexión de VPC para conectarse a su proxy del almacén de claves externo. También especifica los detalles de la conexión, incluido el punto de conexión URI del proxy y la ruta dentro de ese punto de conexión del proxy desde donde AWS KMS envía las solicitudes de API al proxy.

  • Si utiliza una conectividad de punto de conexión público, asegúrese de que AWS KMS puede comunicarse con su proxy a través de Internet mediante una conexión HTTPS. Esto incluye configurar TLS en el proxy del almacén de claves externo y garantizar que cualquier firewall entre AWS KMS y el proxy permita el tráfico hacia y desde el puerto 443 del proxy. Al crear un almacén de claves externo con conectividad a un punto de conexión público, AWS KMS prueba la conexión al enviar una solicitud de estado al proxy del almacén de claves externo. Esta prueba comprueba que se puede acceder al punto de conexión y que el proxy del almacén de claves externo aceptará una solicitud firmada con la credencial de autenticación del proxy del almacén de claves externo. Si se produce un error en esta solicitud de prueba, se produce un error en la operación para crear el almacén de claves externo.

  • Si utiliza la conectividad al servicio de punto de conexión de VPC, asegúrese de que el equilibrador de carga de red, el nombre DNS privado y el servicio de punto de conexión de VPC estén configurados correctamente y en funcionamiento. Si el proxy del almacén de claves externo no está en la VPC, debe asegurarse de que el servicio de punto de conexión de VPC pueda comunicarse con el proxy del almacén de claves externo. (AWS KMS prueba la conectividad del servicio del punto de conexión de VPC al conectar el almacén de claves externo a su proxy del almacén de claves externo).

Consideraciones adicionales:

  • AWS KMSregistra CloudWatch las métricas y dimensiones de Amazon, especialmente para los almacenes de claves externos. Los gráficos de monitoreo basados en algunas de estas métricas aparecen en la consola de AWS KMS para cada almacén de claves externo. Le recomendamos encarecidamente que utilice estas métricas para crear alarmas que monitoreen su almacén de claves externo. Estas alarmas le avisan de las señales tempranas de problemas operativos y de rendimiento antes de que se produzcan. Para obtener instrucciones, consulte Monitoreo de un almacén de claves externo.

  • Los almacenes de claves externos están sujetos a cuotas de recursos. El uso de claves de KMS en un almacén de claves externo está sujeto a las cuotas de solicitud. Revise estas cuotas antes de diseñar la implementación de su almacén de claves externo.

nota

Revise su configuración para ver si hay dependencias circulares que puedan impedir que funcione.

Por ejemplo, si crea su proxy de almacén de claves externo con recursos de AWS, asegúrese de que el funcionamiento del proxy no requiera la disponibilidad de una clave de KMS en un almacén de claves externo al que se acceda a través de ese proxy.

Todos los nuevos almacenes de claves externos se crean en un estado desconectado. Antes de poder crear claves de KMS en su almacén de claves externo, debe conectarlo a su proxy del almacén de claves externo. Para cambiar las propiedades del almacén de claves externo, edite la configuración del almacén de claves externo.

Cumplir los requisitos previos

Antes de crear un almacén de claves externo, debe reunir los componentes necesarios, incluido el administrador de claves externo que utilizará para respaldar el almacén de claves externo y el proxy del almacén de claves externo que traduce las solicitudes de AWS KMS a un formato que su administrador de claves externo pueda entender.

Los siguientes componentes son necesarios para todos los almacenes de claves externos. Además de estos componentes, debe proporcionar los componentes que admitan la opción de conectividad al proxy del almacén de claves externo que elija.

sugerencia

Su administrador de claves externo puede incluir algunos de estos componentes o puede que estén configurados para usted. Para obtener más detalles, consulte la documentación del administrador de claves externo.

Si está creando su almacén de claves externo en la consola de AWS KMS, tiene la opción de cargar un archivo de configuración del proxy basado en JSON que especifique la ruta URI del proxy y la credencial de autenticación del proxy. Algunos proxy del almacén de claves externos generan este archivo por usted. Para obtener más información, consulte la documentación del proxy del almacén de claves externo o el administrador de claves externo.

Administrador de claves externo

Cada almacén de claves externo requiere al menos una instancia del administrador de claves externo. Puede ser un módulo de seguridad de hardware (HSM) físico o virtual o un software de administración de claves.

Puede usar un único administrador de claves, pero le recomendamos al menos dos instancias del administrador de claves relacionadas que compartan claves criptográficas por motivos de redundancia. El almacén de claves externo no requiere el uso exclusivo del administrador de claves externo. Sin embargo, el administrador de claves externo debe tener la capacidad de administrar la frecuencia esperada de las solicitudes de cifrado y descifrado de los servicios de AWS que utilizan las claves de KMS en el almacén de claves externo para proteger sus recursos. El administrador de claves externo debe configurarse para administrar hasta 1800 solicitudes por segundo y responder dentro del tiempo de espera de 250 milisegundos para cada solicitud. Le recomendamos que ubique el administrador de claves externo cerca de una Región de AWS, de modo que el tiempo de ida y vuelta (RTT) de la red sea de 35 milisegundos o menos.

Si su proxy del almacén de claves externo lo permite, puede cambiar el administrador de claves externo que asocia a su proxy del almacén de claves externo, pero el nuevo administrador de claves externo debe ser una copia de seguridad o una instantánea con el mismo material de claves. Si la clave externa que asocia a una clave de KMS ya no está disponible para su proxy del almacén de claves externo, AWS KMS no podrá descifrar el texto cifrado encriptado con la clave de KMS.

El proxy del almacén de claves externo debe poder acceder al administrador de claves externo. Si la GetHealthStatusrespuesta del proxy indica que todas las instancias del administrador de claves externo lo sonUnavailable, todos los intentos de crear un almacén de claves externo fallan con un XksProxyUriUnreachableException.

Proxy del almacén de claves externo

Debe especificar un proxy del almacén de claves externo (proxy XKS) que cumpla con los requisitos de diseño de la especificación de la API de proxy del almacén de claves externo de AWS KMS. Puede desarrollar o comprar un proxy del almacén de claves externo, o utilizar un proxy del almacén de claves externo proporcionado o integrado en su administrador de claves externo. AWS KMS recomienda configurar el proxy del almacén de claves externo para gestionar hasta 1800 solicitudes por segundo y responder dentro del tiempo de espera de 250 milisegundos a cada solicitud. Le recomendamos que ubique el administrador de claves externo cerca de una Región de AWS, de modo que el tiempo de ida y vuelta (RTT) de la red sea de 35 milisegundos o menos.

Puede utilizar un proxy del almacén de claves externo para más de un almacén de claves externo, pero cada almacén de claves externo debe tener un punto de conexión y una ruta de URI únicos dentro del proxy del almacén de claves externo para sus solicitudes.

Si utiliza la conectividad a un servicio de punto de conexión de VPC, puede localizar su proxy del almacén de claves externo en su VPC de Amazon, pero no es obligatorio. Puede localizar su proxy fuera de AWS, por ejemplo, en su centro de datos privado, y utilizar el servicio de punto de conexión de VPC únicamente para comunicarse con el proxy.

Credencial de autenticación del proxy

Para crear un almacén de claves externo, debe especificar su credencial de autenticación del proxy del almacén de claves externo (XksProxyAuthenticationCredential).

Debe establecer una credencial de autenticación (XksProxyAuthenticationCredential) para AWS KMS en el proxy de su almacén de claves externo. AWS KMS autentica en su proxy firmando sus solicitudes mediante el proceso Signature Version 4 (SigV4) con la credencial de autenticación del proxy del almacén de claves externo. Debe especificar una credencial de autenticación cuando se crea el almacén de claves externo y se puede cambiar en cualquier momento. Si su proxy rota la credencial, asegúrese de actualizar los valores de la credencial del almacén de claves externo.

La credencial de autenticación del proxy tiene dos partes. Debe proporcionar ambas partes para su almacén de claves externo.

  • ID de clave de acceso: identifica la clave de acceso secreta. Puede proporcionar este ID en texto sin formato.

  • Clave de acceso secreta: la parte secreta de la credencial. AWS KMS cifra la clave de acceso secreta de la credencial antes de almacenarla.

La credencial SigV4 que utiliza AWS KMS para firmar las solicitudes al proxy del almacén de claves externo no está relacionada con ninguna credencial de SigV4 asociada a las entidades principales de AWS Identity and Access Management de sus cuentas de AWS. No reutilice ninguna credencial SigV4 de IAM para su proxy del almacén de claves externo.

Conectividad de proxy

Para crear un almacén de claves externo, debe especificar su opción de conectividad del proxy del almacén de claves externo (XksProxyConnectivity).

AWS KMS puede comunicarse con su proxy del almacén de claves externo mediante un punto de conexión público o un servicio de punto de conexión de Amazon Virtual Private Cloud (Amazon VPC). Si bien un punto de conexión público es más sencillo de configurar y mantener, es posible que no cumpla con los requisitos de seguridad de todas las instalaciones. Si elige la opción de conectividad del servicio de punto de conexión de VPC de Amazon, debe crear y mantener los componentes necesarios, incluida una VPC de Amazon con al menos dos subredes en dos zonas de disponibilidad diferentes, un servicio del punto de conexión de VPC con un equilibrador de carga de red y un grupo de destino, y un nombre DNS privado para el servicio de punto de conexión de VPC.

Puede cambiar la opción de conectividad del proxy para su almacén de claves externo. Sin embargo, debe asegurar la disponibilidad continua del material de claves asociado a las claves de KMS en su almacén de claves externo. De lo contrario, AWS KMS no podrá descifrar ningún texto cifrado encriptado con esas claves de KMS.

Para obtener ayuda para decidir qué opción de conectividad de proxy es mejor para su almacén de claves externo, consulte Elegir una opción de conectividad del proxy. Para obtener ayuda para crear una configuración de la conectividad del servicio del punto de conexión de VPC, consulte Configurar la conectividad del servicio de punto de conexión de VPC.

Punto de conexión URI del proxy

Para crear un almacén de claves externo, debe especificar el punto de conexión (XksProxyUriEndpoint) que AWS KMS se utiliza para enviar las solicitudes al proxy del almacén de claves externo.

El protocolo debe ser HTTPS. AWS KMS se comunica en el puerto 443. No especifique el puerto en el valor del punto de conexión URI del proxy.

El certificado del servidor TLS configurado en el proxy del almacén de claves externo debe coincidir con el nombre de dominio del punto de conexión URI y debe ser emitido por una autoridad de certificación compatible con los almacenes de claves externos. Para obtener una lista, consulte Autoridades de certificación de confianza. La autoridad de certificación exigirá una prueba de la propiedad del dominio antes de emitir el certificado TLS.

El nombre común del sujeto (CN) en el certificado TLS debe coincidir con el nombre DNS privado. Por ejemplo, si el nombre DNS privado es myproxy-private.xks.example.com, el CN del certificado TLS debe ser myproxy-private.xks.example.com o *.xks.example.com.

Puede cambiar el punto de conexión de la URI del proxy, pero asegúrese de que el proxy del almacén de claves externo tenga acceso al material de claves asociado a las claves de KMS de su almacén de claves externo. De lo contrario, AWS KMS no podrá descifrar ningún texto cifrado encriptado con esas claves de KMS.

Requisitos de singularidad

  • El valor combinado del punto de conexión del URI del proxy (XksProxyUriEndpoint) y el valor de la ruta URI del proxy (XksProxyUriPath) deben ser únicos en la Cuenta de AWS y en la región.

  • Los almacenes de claves externos con conectividad al punto de conexión público pueden compartir el mismo punto de conexión URI del proxy, siempre que tengan valores de ruta URI de proxy diferentes.

  • Un almacén de claves externo con conectividad al punto de conexión público no puede utilizar el mismo valor de punto de conexión URI de proxy que cualquier almacén de claves externo con conectividad a servicios de punto de conexión de VPC en la misma Región de AWS, incluso si los almacenes de claves se encuentran en diferentes Cuentas de AWS.

  • Cada almacén de claves externo con conectividad al punto de conexión de VPC debe tener su propio nombre DNS privado. El punto de conexión URI del proxy (nombre DNS privado) debe ser único en Cuenta de AWS y la región.

Ruta URI del proxy

Para crear un almacén de claves externo, debe especificar la ruta base en su proxy del almacén de claves externo a las API de proxy necesarias. El valor debe empezar con / y terminar en /kms/xks/v1, donde v1 representa la versión de la API de AWS KMS para el proxy del almacén de claves externo. Esta ruta puede incluir un prefijo opcional entre los elementos necesarios, por ejemplo /example-prefix/kms/xks/v1. Para encontrar este valor, consulte la documentación de su proxy del almacén de claves externo.

AWS KMS envía las solicitudes de proxy a la dirección especificada mediante la concatenación del punto de conexión de la URI del proxy y la ruta URI del proxy. Por ejemplo, si el punto de conexión de la URI del proxy es https://myproxy.xks.example.com y la ruta URI del proxy es /kms/xks/v1, AWS KMS envía sus solicitudes de API de proxy a https://myproxy.xks.example.com/kms/xks/v1.

Puede cambiar la ruta URI del proxy, pero asegúrese de que el proxy del almacén de claves externo tenga acceso al material de claves asociado a las claves de KMS de su almacén de claves externo. De lo contrario, AWS KMS no podrá descifrar ningún texto cifrado encriptado con esas claves de KMS.

Requisitos de singularidad

  • El valor combinado del punto de conexión del URI del proxy (XksProxyUriEndpoint) y el valor de la ruta URI del proxy (XksProxyUriPath) deben ser únicos en la Cuenta de AWS y en la región.

Servicio de punto de conexión de VPC

Especifica el nombre del servicio de punto de conexión de VPC de Amazon que se utiliza para comunicarse con el proxy del almacén de claves externo. Este componente solo es necesario para los almacenes de claves externos que utilizan la conectividad a servicios de punto de conexión de VPC. Para obtener ayuda para establecer y configurar el servicio de punto de conexión de VPC para un almacén de claves externo, consulte Configurar la conectividad del servicio de punto de conexión de VPC.

El servicio de punto de conexión de VPC debe tener las siguientes propiedades:

  • El servicio de punto de conexión de VPC debe estar en la mismaCuenta de AWS y región que el almacén de claves externo.

  • Debe tener un equilibrador de carga de red (NLB) conectado a al menos dos subredes, cada una en una zona de disponibilidad diferente.

  • La lista de entidades principales permitidas para el servicio de punto de conexión de VPC debe incluir la entidad principal del servicio de AWS KMS de la región: cks.kms.<region>.amazonaws.com, por ejemplo cks.kms.us-east-1.amazonaws.com.

  • No debe requerir la aceptación de las solicitudes de conexión.

  • Debe tener un nombre DNS privado dentro de un dominio público de nivel superior. Por ejemplo, podría tener un nombre DNS privado myproxy-private.xks.example.com en el dominio xks.example.com público.

    El nombre DNS privado de un almacén de claves externo con conectividad al servicio de punto de conexión de VPC debe ser único en su Región de AWS.

  • El estado de verificación de dominio del dominio de su nombre DNS privado debe ser verified.

  • El certificado de servidor TLS configurado en el proxy del almacén de claves externo debe especificar el nombre de host DNS privado en el que se puede acceder al punto de conexión.

Requisitos de singularidad

  • Los almacenes de claves externos con conectividad al punto de conexión de VPC pueden compartir una Amazon VPC, pero cada almacén de claves externo debe tener su propio servicio de punto de conexión de VPC y nombre DNS privado.

Archivo de configuración del proxy

Un archivo de configuración del proxy es un archivo opcional basado en JSON que contiene valores para la ruta URI del proxy y las propiedades de las credenciales de autenticación del proxy del almacén de claves externo. Al crear o editar un almacén de claves externo en la consola de AWS KMS, puede cargar un archivo de configuración del proxy para proporcionar los valores de configuración del almacén de claves externo. El uso de este archivo evita errores al escribir y pegar, y garantiza que los valores del almacén de claves externo coincidan con los valores del proxy del almacén de claves externo.

Los archivos de configuración del proxy los genera el proxy del almacén de claves externo. Para saber si su proxy del almacén de claves externo ofrece un archivo de configuración del proxy, consulte la documentación del proxy del almacén de claves externo.

A continuación, se muestra un ejemplo de un archivo de configuración de proxy bien estructurado con valores ficticios.

{
  "XksProxyUriPath": "/example-prefix/kms/xks/v1",
  "XksProxyAuthenticationCredential": {
    "AccessKeyId": "ABCDE12345670EXAMPLE",
    "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
  }
}

Solo puede cargar un archivo de configuración del proxy al crear o editar un almacén de claves externo en la consola de AWS KMS. No puede usarlo con las UpdateCustomKeyStoreoperaciones CreateCustomKeyStoreo, pero puede usar los valores del archivo de configuración del proxy para asegurarse de que los valores de los parámetros son correctos.

Creación de un almacén de claves externo (consola)

Antes de crear un almacén de claves externo, revise el Planificación de un almacén de claves externo, elija el tipo de conectividad de proxy y asegúrese de haber creado y configurado todos los componentes necesarios. Si necesita ayuda para encontrar alguno de los valores requeridos, consulte la documentación del proxy de su almacén de claves externo o del software de administración de claves.

nota

Al crear un almacén de claves externo en la AWS Management Console, puede cargar un archivo de configuración del proxy basado en JSON con valores para la ruta URI del proxy y la credencial de autenticación del proxy. Algunos proxy generan este archivo por usted. No es obligatorio.

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Custom key stores (Almacenes de claves personalizados), External key stores (Almacenes de claves externos).

  4. Seleccione Create external key store (Crear almacén de claves externo).

  5. Escriba un nombre fácil de recordar para el almacén de claves externo. El nombre debe ser único entre todos los almacenes de claves externos de su cuenta.

    importante

    No incluya información confidencial en este campo. Este campo puede mostrarse en texto plano en CloudTrail los registros y otros resultados.

  6. Elija el tipo de conectividad del proxy.

    Su elección de conectividad del proxy determina los componentes necesarios para su proxy del almacén de claves externo. Si necesita ayuda para tomar esta decisión, consulte Elegir una opción de conectividad del proxy.

  7. Elija o introduzca el nombre del servicio de punto de conexión de VPC para este almacén de claves externo. Este paso solo aparece cuando el tipo de conectividad al proxy del almacén de claves externo es el servicio de punto de conexión de VPC.

    El servicio de punto de conexión de VPC y sus VPC deben cumplir los requisitos de un almacén de claves externo. Para obtener más detalles, consulte Cumplir los requisitos previos.

  8. Introduzca el punto de conexión de la URI de su proxy. El protocolo debe ser HTTPS. AWS KMS se comunica en el puerto 443. No especifique el puerto en el valor del punto de conexión URI del proxy.

    Si AWS KMS reconoce el servicio de punto de conexión de VPC que especificó en el paso anterior, rellena este campo por usted.

    Para la conectividad al punto de conexión público, introduzca una URI de punto de conexión disponible públicamente. Para la conectividad de punto de conexión de VPC, introduzca https:// seguido del nombre DNS privado del servicio de punto de conexión de VPC.

  9. Para introducir los valores del prefijo de ruta URI del proxy y de la credencial de autenticación del proxy, cargue un archivo de configuración de proxy o introduzca los valores manualmente.

    • Si tiene un archivo de configuración de proxy opcional que contiene valores para la ruta URI del proxy y la credencial de autenticación del proxy, elija Upload configuration file (Cargar archivo de configuración). Siga los pasos para cargar el archivo.

      Cuando se carga el archivo, la consola muestra los valores del archivo en campos editables. Puede cambiar los valores ahora o editarlos después de crear el almacén de claves externo.

      Para mostrar el valor de la clave de acceso secreta, seleccione Show secret access key (Mostrar clave de acceso secreta).

    • Si no tiene un archivo de configuración de proxy, puede introducir la ruta URI del proxy y los valores de las credenciales de autenticación del proxy manualmente.

      1. Si no dispone de un archivo de configuración de proxy, puede introducir la URI de proxy manualmente. La consola proporciona el valor /kms/xks/v1 requerido.

        Si la ruta URI de su proxy incluye un prefijo opcional, como el example-prefix en /example-prefix/kms/xks/v1, introduzca el prefijo en el campo del prefijo de ruta URI del proxy. De lo contrario, deje el campo en blanco.

      2. Si no dispone de un archivo de configuración de proxy, puede introducir su credencial de autenticación del proxy manualmente. Se requieren tanto el ID de clave de acceso como la clave de acceso secreta.

        • En Proxy credential: Access key ID (Credencial de proxy: ID de clave de acceso), introduzca el ID de clave de acceso de la credencial de autenticación del proxy. El ID de clave de acceso identifica la clave de acceso secreta.

        • En Proxy credential: Secret access key (Credencial de proxy: clave de acceso secreta), introduzca el ID de clave de acceso secreta de la credencial de autenticación del proxy.

        Para mostrar el valor de la clave de acceso secreta, seleccione Show secret access key (Mostrar clave de acceso secreta).

        Este procedimiento no establece ni cambia la credencial de autenticación que estableció en su proxy del almacén de claves externo. Simplemente asocia estos valores con su almacén de claves externo. Para obtener información sobre la configuración, el cambio y la credencial de autenticación del proxy rotativo, consulte la documentación del proxy del almacén de claves externo o del software de administración de claves.

        Si la credencial de autenticación del proxy cambia, edite la configuración de credenciales del almacén de claves externo.

  10. Seleccione Create external key store (Crear almacén de claves externo).

Si el proceso se ejecuta correctamente, el nuevo almacén de claves externo aparecerá en la lista de almacenes de claves externos de la cuenta y la región. Si el procedimiento da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo. Si necesita más ayuda, consulte CreateKey errores en la clave externa.

Siguiente: los nuevos almacenes de claves externos no se conectan de forma automática. Antes de poder crear AWS KMS keys en su almacén de claves externo, debe conectar el almacén de clave externo a su proxy del almacén de claves externo.

Creación de un almacén de claves externo (API)

Puede utilizar la CreateCustomKeyStoreoperación para crear un nuevo almacén de claves externo. Para obtener ayuda para encontrar los parámetros requeridos, consulte la documentación del proxy de su almacén de claves externo o del software de administración de claves.

sugerencia

No puede cargar un archivo de configuración de proxy cuando utilice la operación CreateCustomKeyStore. Sin embargo, puede utilizar los valores del archivo de configuración del proxy para asegurarse de que los valores de los parámetros son correctos.

Para crear un almacén de claves externo, la operación CreateCustomKeyStore requiere los siguientes valores de parámetros.

  • CustomKeyStoreName: un nombre fácil de recordar para el almacén de claves externo que es exclusivo de la cuenta.

    importante

    No incluya información confidencial en este campo. Este campo puede mostrarse en texto plano en CloudTrail los registros y otros resultados.

  • CustomKeyStoreType: especifique EXTERNAL_KEY_STORE.

  • XksProxyConnectivity: especifique PUBLIC_ENDPOINT o VPC_ENDPOINT_SERVICE.

  • XksProxyAuthenticationCredential: especifique el ID de clave de acceso y la clave de acceso secreta.

  • XksProxyUriEndpoint: el punto de conexión que AWS KMS utiliza para comunicarse con el proxy de su almacén de claves externo.

  • XksProxyUriPath: la ruta dentro del proxy a las API de proxy.

  • XksProxyVpcEndpointServiceName: es obligatorio solo cuando su valor XksProxyConnectivity es VPC_ENDPOINT_SERVICE.

nota

Si usa la versión 1.0 de la AWS CLI, ejecute el siguiente comando antes de especificar un parámetro con un valor HTTP o HTTPS, como el parámetro XksProxyUriEndpoint.

aws configure set cli_follow_urlparam false

De lo contrario, la versión 1.0 de la AWS CLI sustituye el valor del parámetro por el contenido que se encuentra en esa dirección URI, lo que provoca el siguiente error:

Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404

En los siguientes ejemplos se utilizan valores ficticios. Antes de ejecutar el comando, sustituya los valores por valores válidos para el almacén de claves externo.

Cree un almacén de claves externo con conectividad a los puntos de conexión públicos.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStorePublic \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity PUBLIC_ENDPOINT \
        --xks-proxy-uri-endpoint https://myproxy.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

Cree un almacén de claves externo con conectividad al servicio de punto de conexión de VPC.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStoreVPC \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
        --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
        --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

Si la operación se ejecuta correctamente, CreateCustomKeyStore devolverá el ID del almacén de claves personalizado, tal y como se muestra en la siguiente respuesta de ejemplo.

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

Si la operación falla, corrija el error que indica la excepción e inténtelo de nuevo. Para obtener ayuda adicional, consulte Solución de problemas de almacenes de claves externos.

Siguiente: para usar el almacén de claves externo, conéctelo a su proxy del almacén de claves externo.