Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Sebelum membuat penyimpanan kunci eksternal Anda, pilih opsi konektivitas yang menentukan cara AWS KMS berkomunikasi dengan komponen penyimpanan kunci eksternal Anda. Opsi konektivitas yang Anda pilih menentukan sisa proses perencanaan.
Jika Anda membuat penyimpanan kunci eksternal, Anda perlu menentukan bagaimana AWS KMS berkomunikasi dengan proxy penyimpanan kunci eksternal Anda. Pilihan ini akan menentukan komponen mana yang Anda butuhkan dan bagaimana Anda mengkonfigurasinya. AWS KMS mendukung opsi konektivitas berikut. Pilih opsi yang memenuhi tujuan kinerja dan keamanan Anda.
Sebelum Anda mulai, konfirmasikan bahwa Anda memerlukan toko kunci eksternal. Sebagian besar pelanggan dapat menggunakan kunci KMS yang didukung oleh materi AWS KMS utama.
catatan
Jika proxy penyimpanan kunci eksternal Anda dibangun ke dalam pengelola kunci eksternal Anda, konektivitas Anda mungkin telah ditentukan sebelumnya. Untuk panduan, lihat dokumentasi untuk pengelola kunci eksternal atau proxy penyimpanan kunci eksternal Anda.
Anda dapat mengubah opsi konektivitas proxy penyimpanan kunci eksternal Anda bahkan di toko kunci eksternal yang beroperasi. Namun, prosesnya harus direncanakan dan dijalankan dengan hati-hati untuk meminimalkan gangguan, menghindari kesalahan, dan memastikan akses berkelanjutan ke kunci kriptografi yang mengenkripsi data Anda.
Konektivitas titik akhir publik
AWS KMS terhubung ke proxy penyimpanan kunci eksternal (proxy XKS) melalui internet menggunakan titik akhir publik.
Opsi konektivitas ini lebih mudah diatur dan dipelihara, dan selaras dengan beberapa model manajemen kunci. Namun, itu mungkin tidak memenuhi persyaratan keamanan beberapa organisasi.
Persyaratan
Jika Anda memilih konektivitas titik akhir publik, berikut ini diperlukan.
-
Proxy penyimpanan kunci eksternal Anda harus dapat dijangkau pada titik akhir yang dapat dirutekan secara publik.
-
Anda dapat menggunakan titik akhir publik yang sama untuk beberapa penyimpanan kunci eksternal asalkan mereka menggunakan nilai jalur URI proxy yang berbeda.
-
Anda tidak dapat menggunakan titik akhir yang sama untuk penyimpanan kunci eksternal dengan konektivitas titik akhir publik dan penyimpanan kunci eksternal apa pun dengan konektivitas layanan titik akhir VPC yang sama Wilayah AWS, meskipun penyimpanan kunci berbeda. Akun AWS
-
Anda harus mendapatkan sertifikat TLS yang dikeluarkan oleh otoritas sertifikat publik yang didukung untuk toko kunci eksternal. Untuk daftar, lihat Otoritas Sertifikat Tepercaya
. Nama umum subjek (CN) pada sertifikat TLS harus cocok dengan nama domain di titik akhir URI proxy untuk proxy penyimpanan kunci eksternal. Misalnya, jika titik akhir publik adalah
https://myproxy.xks.example.com, TLS, CN pada sertifikat TLS harus atau.myproxy.xks.example.com*.xks.example.com -
Pastikan bahwa setiap firewall antara AWS KMS dan proxy penyimpanan kunci eksternal memungkinkan lalu lintas ke dan dari port 443 pada proxy. AWS KMS berkomunikasi di port 443. Nilai ini tidak dapat dikonfigurasi.
Untuk semua persyaratan untuk penyimpanan kunci eksternal, lihat Merakit prasyarat.
Konektivitas layanan titik akhir VPC
AWS KMS terhubung ke proxy penyimpanan kunci eksternal (proxy XKS) dengan membuat titik akhir antarmuka ke layanan titik akhir VPC Amazon yang Anda buat dan konfigurasikan. Anda bertanggung jawab untuk membuat layanan titik akhir VPC dan menghubungkan VPC Anda ke pengelola kunci eksternal Anda.
Layanan endpoint Anda dapat menggunakan salah satu opsi network-to-AmazonVPC yang didukung untuk komunikasi, termasuk. AWS Direct Connect
Opsi konektivitas ini lebih rumit untuk diatur dan dipelihara. Tetapi menggunakan AWS PrivateLink, yang memungkinkan AWS KMS untuk terhubung secara pribadi ke VPC Amazon Anda dan proxy toko kunci eksternal Anda tanpa menggunakan internet publik.
Anda dapat menemukan proxy toko kunci eksternal Anda di VPC Amazon Anda.
Atau, cari proxy penyimpanan kunci eksternal Anda di luar AWS dan gunakan layanan titik akhir VPC Amazon Anda hanya untuk komunikasi yang aman. AWS KMS
Pelajari lebih lanjut:
-
Tinjau proses untuk membuat toko kunci eksternal, termasuk merakit prasyarat. Ini akan membantu Anda memastikan bahwa Anda memiliki semua komponen yang Anda butuhkan saat membuat toko kunci eksternal Anda.
-
Pelajari cara mengontrol akses ke penyimpanan kunci eksternal Anda, termasuk izin yang diperlukan oleh administrator dan pengguna penyimpanan kunci eksternal.
-
Pelajari tentang CloudWatch metrik dan dimensi Amazon yang AWS KMS direkam untuk penyimpanan kunci eksternal. Kami sangat menyarankan agar Anda membuat alarm untuk memantau penyimpanan kunci eksternal Anda sehingga Anda dapat mendeteksi tanda-tanda awal masalah kinerja dan operasional.
