Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración de la conectividad del servicio de punto de conexión de VPC
Utilice las instrucciones de esta sección para crear y configurar los recursos de AWS y los componentes relacionados que se requieren para un almacén de claves externo que utilice la conectividad de servicios de punto de conexión de VPC. Los recursos que se enumeran para esta opción de conectividad complementan los recursos necesarios para todos los almacenes de claves externos. Después de crear y configurar los recursos necesarios, puede crear su almacén de claves externo.
Puede localizar su proxy de almacén de claves externo en su VPC de Amazon o localizarlo fuera de AWS y utilizar su servicio de punto de conexión de VPC para la comunicación.
Antes de empezar, confirme que necesita un almacén de claves externo. La mayoría de los clientes pueden usar claves de KMS respaldadas por material de claves de AWS KMS.
nota
Es posible que algunos de los elementos necesarios para la conectividad del servicio de punto de conexión de VPC estén incluidos en el administrador de claves externo. Además, es posible que el software tenga requisitos de configuración adicionales. Antes de crear y configurar los recursos de AWS de esta sección, consulte la documentación del proxy y del administrador de claves.
Temas
- Requisitos para la conectividad del servicio del punto de conexión de VPC
- Paso 1: Crear una VPCde Amazon y subredes
- Paso 2: Crear un grupo de destino
- Paso 3: Crear un equilibrador de carga de red
- Paso 4: Crear un servicio de punto de conexión de VPC
- Paso 5: Verificar el dominio de su nombre DNS privado
- Paso 6: Autorizar a AWS KMS para que se conecte al servicio de punto de conexión de VPC
Requisitos para la conectividad del servicio del punto de conexión de VPC
Si elige la conectividad del servicio de punto de conexión de VPC para su almacén de claves externo, necesitará los siguientes recursos.
Para minimizar la latencia de la red, cree sus componentes de AWS en la Región de AWS compatible que esté más cerca de su administrador de claves externo. Si es posible, elija una región con un tiempo de ida y vuelta (RTT) de la red de 35 milisegundos o menos.
-
Una VPC de Amazon que esté conectada a su administrador de claves externo. Debe tener al menos dos subredes privadas en dos zonas de disponibilidad diferentes.
Puede utilizar una VPC de Amazon existente para su almacén de claves externo, siempre que cumpla los requisitos para su uso con un almacén de claves externo. Varios almacenes de claves externos pueden compartir una VPC de Amazon, pero cada almacén de claves externo debe tener su propio servicio de punto de conexión de VPC y un nombre DNS privado.
-
Un servicio de punto de conexión de VPC de Amazon proporcionado por un AWS PrivateLink con un Equilibrador de carga de red y un grupo de destino.
El servicio de punto de conexión no puede requerir aceptación. Además, debe agregar AWS KMS como entidad principal permitida. Esto permite a AWS KMS crear puntos de conexión de interfaz para que pueda comunicarse con el proxy del almacén de claves externo.
-
Un nombre de DNS privado para el servicio de punto de conexión de VPC que es único en su Región de AWS.
El nombre DNS privado debe ser un subdominio de un dominio público de nivel superior. Por ejemplo, si el nombre DNS privado es
myproxy-private.xks.example.com, debe ser un subdominio de un dominio público, comoxks.example.comoexample.com.Debe verificar la propiedad del dominio de DNS para el nombre DNS privado.
-
Un certificado TLS emitido por una autoridad de certificación pública admitida
para su proxy del almacén de claves externo. El nombre común del sujeto (CN) en el certificado TLS debe coincidir con el nombre DNS privado. Por ejemplo, si el nombre DNS privado es
myproxy-private.xks.example.com, el CN del certificado TLS debe sermyproxy-private.xks.example.como*.xks.example.com.
Para conocer todos los requisitos de un almacén de claves externo, consulte Ensamblaje de los requisitos previos.
Paso 1: Crear una VPCde Amazon y subredes
La conectividad del servicio de punto de conexión de VPC requiere una VPC de Amazon que esté conectada a su administrador de claves externo con al menos dos subredes privadas. Puede crear una VPC de Amazon o utilizar una VPC de Amazon existente que cumpla con los requisitos para los almacenes de claves externos. Para obtener ayuda con la creación de una nueva VPC de Amazon, consulte Crear una VPC en la Guía del usuario de Amazon Virtual Private Cloud.
Requisitos para su VPC de Amazon
Para trabajar con almacenes de claves externos que utilicen la conectividad del servicio de punto de conexión de VPC, la VPC de Amazon debe tener las siguientes propiedades:
-
Debe estar en la misma Cuenta de AWS y región admitida que su almacén de claves externo.
-
Requiere al menos dos subredes privadas, cada una en una zona de disponibilidad diferente.
-
El intervalo de direcciones IP privadas de su VPC de Amazon no debe superponerse con el intervalo de direcciones IP privadas del centro de datos que aloja su administrador de claves externo.
-
Todos los componentes deben utilizar IPv4.
Tiene muchas opciones para conectar la VPC de Amazon a su proxy del almacén de claves externo. Elija la opción que se ajuste a sus necesidades de rendimiento y seguridad. Para obtener una lista, consulte Conectar su VPC a otras redes y Opciones de conectividad de red a una VPC de Amazon. Para obtener más detalles, consulte AWS Direct Connect y la Guía del usuario de AWS Site-to-Site VPN.
Creación de una VPC de Amazon para su almacén de claves externo
Use las siguientes instrucciones para crear la VPC de Amazon para su almacén de claves externo. Solo se requiere una VPC de Amazon si elige la opción de conectividad del servicio de punto de conexión de VPC. Puede utilizar una VPC de Amazon existente que cumpla los requisitos para un almacén de claves externo.
Siga las instrucciones que se indican en el tema Crear una VPC, subredes y otros recursos de la VPC con los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
|---|---|
| IPv4 CIDR block | Introduzca las direcciones IP de la VPC. El intervalo de direcciones IP privadas de su VPC de Amazon no debe superponerse con el intervalo de direcciones IP privadas del centro de datos que aloja su administrador de claves externo. |
| Número de zonas de disponibilidad (AZ) | 2 o más |
| Número de subredes públicas |
No se requiere ninguna (0) |
| Número de subredes privadas | Una para cada AZ |
| Puerta de enlace NAT | No se requiere ninguna. |
| Puntos de conexión de VPC | No se requiere ninguna. |
| Enable DNS hostnames | Sí |
| Habilitar la resolución de DNS | Sí |
Asegúrese de probar la comunicación de la VPC. Por ejemplo, si su proxy de almacén de claves externo no se encuentra en su VPC de Amazon, cree una instancia de Amazon EC2 en su VPC de Amazon y compruebe que la VPC de Amazon pueda comunicarse con su proxy del almacén de claves externo.
Conexión de la VPC al administrador de claves externo
Conecte la VPC al centro de datos que aloja su administrador de claves externo mediante cualquiera de las opciones de conectividad de red que admite la VPC de Amazon. Asegúrese de que la instancia de Amazon EC2 en la VPC (o el proxy del almacén de claves externo, si está en la VPC) pueda comunicarse con el centro de datos y el administrador de claves externo.
Paso 2: Crear un grupo de destino
Antes de crear el servicio de punto de conexión de VPC requerido, cree los componentes necesarios, un equilibrador de carga de red (NLB) y un grupo de destino. El equilibrador de carga de red (NLB) distribuye las solicitudes entre varios objetivos en buen estado, cualquiera de los cuales puede atender la solicitud. En este paso, crea un grupo de destino con al menos dos servidores para su proxy del almacén de claves externo y registra sus direcciones IP en el grupo de destino.
Siga las instrucciones que se indican en el tema Configuración de un grupo de destino con los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
|---|---|
| Tipo de objetivo | Direcciones IP |
| Protocolo | TCP |
| Puerto |
443 |
| Tipo de dirección IP | IPv4 |
| VPC | Elija la VPC en la que va a crear el servicio de punto de conexión de VPC para su almacén de claves externo. |
| Protocolo y ruta de comprobación de estado | El protocolo y la ruta de comprobación de estado variarán según la configuración del proxy del almacén de claves externo. Consulte la documentación de su administrador de claves externo o proxy del almacén de claves externo. Para obtener información general sobre la configuración de comprobaciones de estado para sus grupos de destino, consulte Comprobaciones de estado para sus grupos de destino en la Guía del usuario del equilibrador de carga elástico para el equilibrador de carga de red. |
| Network | Otra dirección IP privada |
| Dirección IPv4 | Las direcciones privadas del proxy de su almacén de claves externo |
| Puertos | 443 |
Paso 3: Crear un equilibrador de carga de red
El equilibrador de carga de red distribuye el tráfico de la red, incluidas las solicitudes de AWS KMS a su proxy del almacén de claves externo, a los destinos configurados.
Siga las instrucciones del tema Configuración de un equilibrador de carga y un oyente para configurar y agregar un oyente y crear un equilibrador de carga con los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
|---|---|
| Esquema | Internal |
| Tipo de dirección IP | IPv4 |
| Asignación de redes |
Elija la VPC en la que va a crear el servicio de punto de conexión de VPC para su almacén de claves externo. |
| Correspondencia | Elija las dos zonas de disponibilidad (al menos dos) que configuró para las subredes de VPC. Compruebe los nombres de las subredes y la dirección IP privada. |
| Protocolo | TCP |
| Puerto | 443 |
| Acción predeterminada: Reenviar a | Elija el grupo de destino para su equilibrador de carga de red. |
Paso 4: Crear un servicio de punto de conexión de VPC
Por lo general, se crea un punto de conexión para un servicio. Sin embargo, cuando crea un servicio de punto de conexión de VPC, usted es el proveedor y AWS KMS crea un punto de conexión para su servicio. Para un almacén de claves externo, cree un servicio de punto de conexión de VPC con el equilibrador de carga de red que creó en el paso anterior. El servicio de punto de conexión de VPC debe estar en la misma Cuenta de AWS y región compatible que su almacén de claves externo.
Varios almacenes de claves externos pueden compartir una VPC de Amazon, pero cada almacén de claves externo debe tener su propio servicio de punto de conexión de VPC y un nombre DNS privado.
Siga las instrucciones del tema Crear un servicio de punto de conexión para crear un servicio de punto de conexión de VPC con los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
|---|---|
| Tipo de balanceador de carga | Network |
| Equilibradores de carga disponibles | Elija el equilibrador de carga de red que creó en el paso anterior. Si el nuevo equilibrador de carga no aparece en la lista, compruebe que su estado esté activo. Es posible que el estado del equilibrador de carga tarde unos minutos en cambiar de aprovisionamiento a activo. |
| Se requiere aceptación | False. Anule la selección de la casilla de verificación. No requieren aceptación. AWS KMS no se puede conectar al servicio de punto de conexión de VPC sin una aceptación manual. Si se requiere la aceptación, los intentos de crear el almacén de claves externo fallan con una excepción |
| Habilitación de nombre DNS privado | Asociar un nombre DNS privado con el servicio |
| Nombre de DNS privado | Introduzca un nombre DNS privado que sea único en su Región de AWS. El nombre DNS privado debe ser un subdominio de un dominio público de nivel superior. Por ejemplo, si el nombre DNS privado es Este nombre DNS privado debe coincidir con el nombre común del asunto (CN) del certificado TLS configurado en el proxy del almacén de claves externo. Por ejemplo, si el nombre DNS privado es Si el certificado y el nombre DNS privado no coinciden, los intentos de conectar un almacén de claves externo a su proxy del almacén de claves externo fallan con un código de error de conexión de |
| Tipos de direcciones IP compatibles | IPv4 |
Paso 5: Verificar el dominio de su nombre DNS privado
Al crear el servicio de punto de conexión de VPC, su estado de verificación de dominio es pendingVerification. Antes de utilizar el servicio de punto de conexión de VPC para crear un almacén de claves externo, este estado debe ser verified. Para verificar que es el propietario del dominio asociado con su nombre DNS privado, debe crear un registro TXT en un servidor DNS público.
Por ejemplo, si el nombre DNS privado de su servicio de punto de conexión de VPC es myproxy-private.xks.example.com, debe crear un registro TXT en un dominio público, como xks.example.com o example.com, lo que sea público. AWS PrivateLink busca el registro TXT primero en xks.example.com y luego en example.com.
sugerencia
Después de agregar un registro TXT, es posible que el estado de verificación del dominio tarde unos minutos en cambiar de pendingVerification a verify.
Para empezar, busque el estado de verificación de su dominio mediante uno de los siguientes métodos. Los valores válidos son verified, pendingVerification y failed.
-
En la consola de VPC de Amazon
, seleccione Endpoint services (Servicios de punto de conexión) y elija su servicio de punto de conexión. En el panel de detalles, consulte Estado de verificación del dominio. -
Utilice la operación DescribeVpcEndpointServiceConfigurations. El valor
Stateestá en el campoServiceConfigurations.PrivateDnsNameConfiguration.State.
Si el estado de verificación no es verified, siga las instrucciones del tema Verificación de la propiedad del dominio para agregar un registro TXT al servidor de DNS de su dominio y comprobar que el registro TXT esté publicado. A continuación, vuelva a comprobar el estado de la verificación.
No es necesario crear un registro A para el nombre de dominio DNS privado. Cuando AWS KMS crea un punto de conexión de interfaz para su servicio de punto de conexión de VPC, AWS PrivateLink crea automáticamente una zona alojada con el registro A requerido para el nombre de dominio privado en la VPC de AWS KMS. Para almacenes de claves externos con conectividad de servicio de punto de conexión de VPC, esto sucede cuando conecta su almacén de claves externo a su proxy de almacén de claves externo.
Paso 6: Autorizar a AWS KMS para que se conecte al servicio de punto de conexión de VPC
Debe agregar AWS KMS a la lista Allow principals (Permitir entidad principal) para su servicio de punto de conexión de VPC. Esto permite a AWS KMS crear puntos de conexión de interfaz para su servicio de punto de conexión de VPC. Si AWS KMS no es una entidad principal permitida, los intentos de crear un almacén de claves externo fallarán con una excepción XksProxyVpcEndpointServiceNotFoundException.
Siga las instrucciones del tema Administrar permisos de la Guía de AWS PrivateLink. Use el siguiente valor obligatorio.
| Campo | Valor |
|---|---|
| ARN | cks.kms.Por ejemplo, |
Siguiente: Creación de un almacén de claves externo
