Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Puede conectarse a AWS KMS través del punto de enlace de la VPC mediante un AWS SDK AWS CLI, el o. AWS Tools for PowerShell Para especificar el punto de conexión de VPC, utilice su nombre de DNS.
Por ejemplo, este comando list-keys utiliza el parámetro endpoint-url para especificar el punto de conexión de VPC. Para utilizar un comando de este tipo, sustituya el ID del punto de conexión de VPC del ejemplo por uno de su cuenta.
$aws kms list-keys --endpoint-urlhttps://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com
- Permisos necesarios
-
Para que una AWS KMS solicitud que utiliza un punto de conexión de VPC se realice correctamente, el director requiere permisos de dos fuentes:
-
Una política de claves, política de IAM, o bien concesión debe dar permiso a la entidad principal para llamar a la operación en el recurso (clave KMS o alias).
-
Una política de extremo de VPC debe conceder a la entidad principal permiso para utilizar el punto de conexión para realizar la solicitud.
Por ejemplo, una política de clave puede conceder permiso a una entidad principal para llamar a Descifrado en una clave KMS en particular. Sin embargo, es posible que la política de punto de conexión de VPC no permita que la entidad principal llame a
Decrypten esa clave KMS mediante el punto de conexión.O bien, una política de punto final de VPC podría permitir que un principal utilice el punto final para invocar determinadas claves DisableKeyde KMS. Pero si la entidad principal no tiene esos permisos de una política de clave, política de IAM o concesión, se produce un error en la solicitud.
Puede crear una política de punto de conexión de VPC cuando cree el punto de conexión y puede cambiar la política de punto de conexión de VPC en cualquier momento. Utilice la consola de administración de VPC o las operaciones CreateVpcEndpointo ModifyVpcEndpoint. También puede crear y cambiar una política de puntos finales de VPC mediante una AWS CloudFormation plantilla. Para obtener ayuda sobre el uso de la consola de administración de la VPC, consulte Creación de un punto de conexión de interfaz y Modificación de un punto de conexión de interfaz en la Guía de AWS PrivateLink .
-
- Nombres de host DNS privados
-
Si ha habilitado los nombres de host privados al crear el punto de conexión de VPC, no es necesario que especifique la URL de este en los comandos de la CLI ni en la configuración de la aplicación. El nombre del host de DNS de AWS KMS estándar se resuelve en el punto de conexión de VPC. AWS CLI Y SDKs usa este nombre de host de forma predeterminada para que puedas empezar a usar el punto de enlace de la VPC para conectarte a AWS KMS un punto de enlace regional sin cambiar nada en tus scripts y aplicaciones.
Para utilizar nombres de host privados, se deben establecer los atributos
enableDnsHostnamesyenableDnsSupportde la VPC entrue. Para configurar estos atributos, utilice la ModifyVpcAttributeoperación. Para obtener más información, consulte Ver y actualizar los atributos de DNS de su VPC en la Guía del usuario de Amazon VPC.
