Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Suivez les instructions de cette section pour créer et configurer les AWS ressources et les composants associés requis pour un magasin de clés externe utilisant la connectivité des services de point de VPC terminaison. Les ressources répertoriées pour cette option de connectivité complètent les ressources requises pour tous les magasins de clés externes. Après avoir créé et configuré les ressources requises, vous pouvez créer votre magasin de clés externe.
Vous pouvez localiser le proxy de votre magasin de clés externe sur votre Amazon VPC ou le localiser à l'extérieur AWS et utiliser votre service de point de VPC terminaison pour communiquer.
Avant de commencer, vérifiez que vous avez besoin d'un magasin de clés externe. La plupart des clients peuvent utiliser KMS des clés soutenues par du matériel AWS KMS clé.
Note
Certains des éléments requis pour la connectivité des services de VPC point de terminaison peuvent être inclus dans votre gestionnaire de clés externe. En outre, votre logiciel peut avoir des exigences de configuration supplémentaires. Avant de créer et de configurer les AWS ressources de cette section, consultez la documentation de votre proxy et de votre gestionnaire de clés.
Rubriques
- Exigences relatives à la connectivité des services des VPC terminaux
- Étape 1 : créer un Amazon VPC et des sous-réseaux
- Étape 2 : Création d'un groupe cible
- Étape 3 : créer un équilibreur de charge réseau
- Étape 4 : Création d'un service de point de VPC terminaison
- Étape 5 : Vérifiez votre DNS nom de domaine privé
- Étape 6 : Autoriser AWS KMS la connexion au service de VPC point de terminaison
Exigences relatives à la connectivité des services des VPC terminaux
Si vous choisissez VPC Endpoint Service Connectivity pour votre magasin de clés externe, les ressources suivantes sont requises.
Pour minimiser la latence du réseau, créez vos AWS composants dans le Région AWS support le plus proche de votre gestionnaire de clés externe. Si possible, choisissez une région dont le temps d'aller-retour sur le réseau (RTT) est inférieur ou égal à 35 millisecondes.
-
Un Amazon VPC connecté à votre gestionnaire de clés externe. Il doit avoir au moins deux sous-réseaux privés dans deux zones de disponibilité différentes.
Vous pouvez utiliser un Amazon existant VPC pour votre magasin de clés externe, à condition qu'il réponde aux exigences d'utilisation avec un magasin de clés externe. Plusieurs magasins de clés externes peuvent partager un AmazonVPC, mais chaque magasin de clés externe doit avoir son propre service de point de VPC terminaison et son propre DNS nom privé.
-
Un service Amazon VPC Endpoint alimenté AWS PrivateLink par un équilibreur de charge réseau et un groupe cible.
Le service de point de terminaison ne peut pas exiger d'acceptation. Vous devez également ajouter AWS KMS en tant que principal autorisé. Cela permet AWS KMS de créer des points de terminaison d'interface afin qu'elle puisse communiquer avec votre proxy de stockage de clés externe.
-
Un DNS nom privé pour le service de VPC point de terminaison qui est unique dans son Région AWS.
Le DNS nom privé doit être un sous-domaine d'un domaine public de niveau supérieur. Par exemple, si le DNS nom privé est
myproxy-private.xks.example.com
, il doit s'agir d'un sous-domaine d'un domaine public tel quexks.example.com
ouexample.com
.Vous devez vérifier la propriété du DNS domaine pour le DNS nom privé.
-
TLSCertificat émis par une autorité de certification publique prise en charge
pour votre proxy de magasin de clés externe. Le nom commun (CN) du sujet figurant sur le TLS certificat doit correspondre au DNS nom privé. Par exemple, si le DNS nom privé est
myproxy-private.xks.example.com
, le CN du TLS certificat doit êtremyproxy-private.xks.example.com
ou*.xks.example.com
.
Pour connaître toutes les exigences relatives à un magasin de clés externe, veuillez consulter la rubrique Réunir les conditions préalables.
Étape 1 : créer un Amazon VPC et des sous-réseaux
VPCla connectivité des services de point de terminaison nécessite un Amazon VPC connecté à votre gestionnaire de clés externe via au moins deux sous-réseaux privés. Vous pouvez créer un Amazon VPC ou utiliser un Amazon existant VPC qui répond aux exigences relatives aux magasins de clés externes. Pour obtenir de l'aide sur la création d'un nouvel AmazonVPC, consultez Create a VPC dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.
Exigences relatives à votre Amazon VPC
Pour fonctionner avec des magasins de clés externes à l'aide de la connectivité des services de point de VPC terminaison, Amazon VPC doit posséder les propriétés suivantes :
-
Doit se trouver dans la même Compte AWS région prise en charge que votre magasin de clés externe.
-
Comporter au moins deux sous-réseaux privés, chacun dans une zone de disponibilité différente.
-
La plage d'adresses IP privées de votre Amazon ne VPC doit pas chevaucher la plage d'adresses IP privées du centre de données hébergeant votre gestionnaire de clés externe.
-
Tous les composants doivent être utilisésIPv4.
Vous disposez de nombreuses options pour connecter l'Amazon VPC à votre proxy de magasin de clés externe. Choisissez une option qui répond à vos exigences de performance et de sécurité. Pour obtenir une liste, voir Connecter votre réseau VPC à d'autres réseaux et options de Network-to-Amazon VPC connectivité. Pour de plus amples informations, veuillez consulter AWS Direct Connect et le Guide de l'utilisateur AWS Site-to-Site VPN.
Création d'un Amazon VPC pour votre magasin de clés externe
Suivez les instructions ci-dessous pour créer l'Amazon VPC pour votre magasin de clés externe. Un Amazon n'VPCest requis que si vous choisissez l'option de connectivité du service de VPC point de terminaison. Vous pouvez utiliser un Amazon existant VPC qui répond aux exigences d'un magasin de clés externe.
Suivez les instructions de la rubrique Créer unVPC, des sous-réseaux et d'autres VPC ressources en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.
Champ | Valeur |
---|---|
IPv4CIDRbloquer | Entrez les adresses IP de votreVPC. La plage d'adresses IP privées de votre Amazon ne VPC doit pas chevaucher la plage d'adresses IP privées du centre de données hébergeant votre gestionnaire de clés externe. |
Nombre de zones de disponibilité (AZs) | 2 ou plus |
Nombre de sous-réseaux publics |
Pas d'exigence minimale (0) |
Nombre de sous-réseaux privés | Un pour chaque AZ |
NATpasserelles | Pas d'exigence minimale. |
VPCpoints de terminaison | Pas d'exigence minimale. |
Activer les noms DNS d'hôtes | Oui |
Activer la DNS résolution | Oui |
Assurez-vous de tester votre VPC communication. Par exemple, si votre proxy de magasin de clés externe ne se trouve pas sur votre AmazonVPC, créez une EC2 instance Amazon sur votre AmazonVPC, vérifiez qu'Amazon VPC peut communiquer avec votre proxy de magasin de clés externe.
Connexion du VPC au gestionnaire de clés externe
Connectez le VPC au centre de données qui héberge votre gestionnaire de clés externe à l'aide de l'une des options de connectivité réseau prises VPC en charge par Amazon. Assurez-vous que l'EC2instance Amazon dans le VPC (ou le proxy externe du magasin de clés, s'il s'agit duVPC) peut communiquer avec le centre de données et le gestionnaire de clés externe.
Étape 2 : Création d'un groupe cible
Avant de créer le service de point de VPC terminaison requis, créez ses composants requis, un équilibreur de charge réseau (NLB) et un groupe cible. L'équilibreur de charge réseau (NLB) distribue les demandes entre plusieurs cibles saines, chacune d'entre elles pouvant répondre à la demande. Au cours de cette étape, vous créez un groupe cible avec au moins deux hôtes pour votre proxy de magasin de clés externe et vous enregistrez vos adresses IP auprès du groupe cible.
Suivez les instructions de la section Configure a target group (Configurer un groupe cible) à l'aide des valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.
Champ | Valeur |
---|---|
Type de cible | Adresses IP |
Protocole | TCP |
Port |
443 |
Type d'adresse IP | IPv4 |
VPC | Choisissez l'VPCendroit où vous allez créer le service de VPC point de terminaison pour votre magasin de clés externe. |
Protocole et chemin de surveillance de l'état | Votre protocole et votre chemin de surveillance de l'état varient en fonction de la configuration du proxy de votre magasin de clés externe. Consultez la documentation de votre gestionnaire de clés externe ou de votre proxy de magasin de clés externe. Pour des informations générales sur la configuration de la surveillance de l'état de vos groupes cibles, veuillez consulter la rubrique Health checks for your target groups (Surveillance de l'état de vos groupes cibles) dans le Guide de l'utilisateur Elastic Load Balancing pour les Network Load Balancers. |
Réseau | Autre adresse IP privée |
IPv4adresse | Les adresses privées de votre proxy de magasin de clés externe |
Ports | 443 |
Étape 3 : créer un équilibreur de charge réseau
L'équilibreur de charge réseau distribue le trafic réseau, y compris les requêtes d' AWS KMS auprès de votre proxy de magasin de clés externe, aux cibles configurées.
Suivez les instructions de la rubrique Configure a load balancer and a listener (Configurer un équilibreur de charge et un écouteur) pour configurer et ajouter un écouteur et créer un équilibreur de charge en utilisant les valeurs obligatoires suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.
Champ | Valeur |
---|---|
Scheme | Internal (Interne) |
Type d’adresse IP | IPv4 |
Mappage du réseau |
Choisissez l'VPCendroit où vous allez créer le service de VPC point de terminaison pour votre magasin de clés externe. |
Mappage | Choisissez les deux zones de disponibilité (au moins deux) que vous avez configurées pour vos VPC sous-réseaux. Vérifiez les noms de sous-réseaux et l'adresse IP privée. |
Protocole | TCP |
Port | 443 |
Action par défaut : Réacheminer vers | Choisissez le groupe cible pour votre équilibreur de charge réseau. |
Étape 4 : Création d'un service de point de VPC terminaison
En général, vous créez un point de terminaison vers un service. Toutefois, lorsque vous créez un service de point de VPC terminaison, vous êtes le fournisseur et vous AWS KMS créez un point de terminaison pour votre service. Pour un magasin de clés externe, créez un service de point de VPC terminaison avec l'équilibreur de charge réseau que vous avez créé à l'étape précédente. Le service de VPC point de terminaison doit se trouver dans la même Compte AWS région prise en charge que votre magasin de clés externe.
Plusieurs magasins de clés externes peuvent partager un AmazonVPC, mais chaque magasin de clés externe doit avoir son propre service de point de VPC terminaison et son propre DNS nom privé.
Suivez les instructions de la rubrique Créer un service de point de terminaison pour créer votre service de VPC point de terminaison avec les valeurs requises suivantes. Pour les autres champs, acceptez les valeurs par défaut et fournissez les noms demandés.
Champ | Valeur |
---|---|
Nouveau type d'équilibreur de charge | Réseau |
Équilibreurs de charge disponibles | Choisissez l'équilibreur de charge réseau que vous avez créé à l'étape précédente. Si votre nouvel équilibreur de charge ne figure pas dans la liste, vérifiez que son état est actif. Il peut s'écouler quelques minutes avant que l'état de l'équilibreur de charge ne passe d'alloué à actif. |
Acceptation requise | Faux. Désactivez la case à cocher. N'exigez pas d'acceptation. AWS KMS Impossible de se connecter au service de VPC point de terminaison sans acceptation manuelle. Si l'acceptation est requise, les tentatives de création du magasin de clés externe échouent avec une exception |
Activer le DNS nom privé | Associer un DNS nom privé au service |
DNSNom privé | Entrez un DNS nom privé unique en son genre Région AWS. Le DNS nom privé doit être un sous-domaine d'un domaine public de niveau supérieur. Par exemple, si le DNS nom privé est Ce DNS nom privé doit correspondre au nom commun du sujet (CN) figurant dans le TLS certificat configuré sur votre proxy de banque de clés externe. Par exemple, si le DNS nom privé est Si le certificat et le DNS nom privé ne correspondent pas, les tentatives de connexion d'une banque de clés externe à son proxy de banque de clés externe échouent avec un code d'erreur de connexion de |
Types d'adresses IP pris en charge | IPv4 |
Étape 5 : Vérifiez votre DNS nom de domaine privé
Lorsque vous créez votre service de VPC point de terminaison, son statut de vérification de domaine estpendingVerification
. Avant d'utiliser le service de VPC point de terminaison pour créer un magasin de clés externe, ce statut doit êtreverified
. Pour vérifier que vous êtes bien le propriétaire du domaine associé à votre DNS nom privé, vous devez créer un TXT enregistrement sur un DNS serveur public.
Par exemple, si le DNS nom privé de votre service de point de VPC terminaison estmyproxy-private.xks.example.com
, vous devez créer un TXT enregistrement dans un domaine public, tel que xks.example.com
ouexample.com
, selon ce qui est public. AWS PrivateLink recherche l'TXTenregistrement d'abord allumé, xks.example.com
puis alluméexample.com
.
Astuce
Après avoir ajouté un TXT enregistrement, la valeur du statut de vérification du domaine peut prendre quelques minutes pour passer de pendingVerification
àverify
.
Pour commencer, identifiez le statut de vérification de votre domaine à l'aide de l'une des méthodes suivantes. Les valeurs valides sont verified
, pendingVerification
et failed
.
-
Dans la VPCconsole Amazon
, choisissez Endpoint services, puis choisissez votre service de point de terminaison. Dans le volet d'informations, veuillez consulter la rubrique Domain verification status (Statut de vérification du domaine). -
Utilisez l'DescribeVpcEndpointServiceConfigurationsopération. La valeur de
State
se trouve dans le champServiceConfigurations.PrivateDnsNameConfiguration.State
.
Si le statut de vérification n'est pas le casverified
, suivez les instructions de la rubrique Vérification de la propriété du domaine pour ajouter un TXT enregistrement au DNS serveur de votre domaine et vérifier que l'TXTenregistrement est publié. Vérifiez ensuite à nouveau votre statut de vérification.
Vous n'êtes pas obligé de créer un enregistrement A pour le nom de DNS domaine privé. Lorsque vous AWS KMS créez un point de terminaison d'interface pour votre service de VPC point de terminaison, crée AWS PrivateLink automatiquement une zone hébergée avec l'enregistrement A requis pour le nom de domaine privé dans le AWS KMS VPC. Pour les magasins de clés externes connectés aux services de point de VPC terminaison, cela se produit lorsque vous connectez votre magasin de clés externe à son proxy de magasin de clés externe.
Étape 6 : Autoriser AWS KMS la connexion au service de VPC point de terminaison
Vous devez l'ajouter AWS KMS à la liste des principaux autorisés pour votre service de point de VPC terminaison. Cela permet de AWS KMS créer des points de terminaison d'interface pour votre service de point de VPC terminaison. S'il ne s' AWS KMS agit pas d'un principal autorisé, les tentatives de création d'un magasin de clés externe échoueront, XksProxyVpcEndpointServiceNotFoundException
sauf exception.
Suivez les instructions de la rubrique Manage permissions (Gérer les autorisations) du Guide AWS PrivateLink . Utilisez la valeur obligatoire suivante.
Champ | Valeur |
---|---|
ARN | cks.kms. Par exemple, |
Suivant : Création d'un magasin de clés externe