Buat toko kunci eksternal - AWS Key Management Service
Memasang prasyaratBuat toko kunci eksternal baru

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat toko kunci eksternal

Anda dapat membuat satu atau banyak toko kunci eksternal di masing-masing Akun AWS dan Wilayah. Setiap penyimpanan kunci eksternal harus dikaitkan dengan pengelola kunci eksternal di luar AWS, dan proxy penyimpanan kunci eksternal (XKSproxy) yang memediasi komunikasi antara AWS KMS dan manajer kunci eksternal Anda. Untuk detailnya, lihat Pilih opsi konektivitas proxy penyimpanan kunci eksternal. Sebelum Anda mulai, konfirmasikan bahwa Anda memerlukan toko kunci eksternal. Sebagian besar pelanggan dapat menggunakan KMS kunci yang didukung oleh materi AWS KMS utama.

Tip

Beberapa manajer kunci eksternal menyediakan metode yang lebih sederhana untuk membuat penyimpanan kunci eksternal. Untuk detailnya, lihat dokumentasi pengelola kunci eksternal Anda.

Sebelum Anda membuat toko kunci eksternal Anda, Anda perlu merakit prasyarat. Selama proses pembuatan, Anda menentukan properti penyimpanan kunci eksternal Anda. Yang paling penting, Anda menunjukkan apakah penyimpanan kunci eksternal Anda AWS KMS menggunakan titik akhir publik atau layanan VPC titik akhir untuk terhubung ke proxy penyimpanan kunci eksternalnya. Anda juga menentukan detail koneksi, termasuk URI titik akhir proxy dan jalur dalam titik akhir proxy tempat AWS KMS mengirim API permintaan ke proxy.

  • Jika Anda menggunakan konektivitas titik akhir publik, pastikan itu AWS KMS dapat berkomunikasi dengan proxy Anda melalui internet menggunakan HTTPS koneksi. Ini termasuk mengkonfigurasi TLS pada proxy penyimpanan kunci eksternal dan memastikan bahwa setiap firewall antara AWS KMS dan proxy memungkinkan lalu lintas ke dan dari port 443 pada proxy. Saat membuat penyimpanan kunci eksternal dengan konektivitas titik akhir publik, AWS KMS menguji koneksi dengan mengirimkan permintaan status ke proxy penyimpanan kunci eksternal. Tes ini memverifikasi bahwa titik akhir dapat dijangkau dan proxy penyimpanan kunci eksternal Anda akan menerima permintaan yang ditandatangani dengan kredensi otentikasi proxy penyimpanan kunci eksternal Anda. Jika permintaan pengujian ini gagal, operasi untuk membuat penyimpanan kunci eksternal gagal.

  • Jika Anda menggunakan konektivitas layanan VPC endpoint, pastikan bahwa penyeimbang beban jaringan, DNS nama pribadi, dan layanan VPC endpoint dikonfigurasi dengan benar dan operasional. Jika proxy penyimpanan kunci eksternal tidak adaVPC, Anda perlu memastikan bahwa layanan VPC endpoint dapat berkomunikasi dengan proxy penyimpanan kunci eksternal. (AWS KMS menguji konektivitas layanan VPC titik akhir saat Anda menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternalnya.)

Pertimbangan tambahan:

  • AWS KMS merekam CloudWatch metrik dan dimensi Amazon terutama untuk toko kunci eksternal. Grafik pemantauan berdasarkan beberapa metrik ini muncul di AWS KMS konsol untuk setiap penyimpanan kunci eksternal. Kami sangat menyarankan Anda menggunakan metrik ini untuk membuat alarm yang memantau penyimpanan kunci rexternal Anda. Alarm ini mengingatkan Anda tentang tanda-tanda awal masalah kinerja dan operasional sebelum terjadi. Untuk petunjuk, silakan lihat Pantau toko kunci eksternal.

  • Toko kunci eksternal tunduk pada kuota sumber daya. Penggunaan KMS kunci di toko kunci eksternal tunduk pada permintaan kuota. Tinjau kuota ini sebelum merancang implementasi penyimpanan kunci eksternal Anda.

catatan

Tinjau konfigurasi Anda untuk dependensi melingkar yang mungkin mencegahnya berfungsi.

Misalnya, jika Anda membuat proxy penyimpanan kunci eksternal menggunakan AWS sumber daya, pastikan bahwa mengoperasikan proxy tidak memerlukan ketersediaan KMS kunci di penyimpanan kunci eksternal yang diakses melalui proxy tersebut.

Semua toko kunci eksternal baru dibuat dalam keadaan terputus. Sebelum Anda dapat membuat KMS kunci penyimpanan kunci eksternal Anda, Anda harus menghubungkannya ke proxy penyimpanan kunci eksternal. Untuk mengubah properti penyimpanan kunci eksternal Anda, edit pengaturan penyimpanan kunci eksternal Anda.

Memasang prasyarat

Sebelum Anda membuat penyimpanan kunci eksternal, Anda perlu merakit komponen yang diperlukan, termasuk pengelola kunci eksternal yang akan Anda gunakan untuk mendukung penyimpanan kunci eksternal dan proxy penyimpanan kunci eksternal yang menerjemahkan AWS KMS permintaan ke dalam format yang dapat dipahami oleh manajer kunci eksternal Anda.

Komponen berikut diperlukan untuk semua toko kunci eksternal. Selain komponen ini, Anda perlu menyediakan komponen untuk mendukung opsi konektivitas proxy penyimpanan kunci eksternal yang Anda pilih.

Tip

Manajer kunci eksternal Anda mungkin menyertakan beberapa komponen ini, atau mereka mungkin dikonfigurasi untuk Anda. Untuk detailnya, lihat dokumentasi pengelola kunci eksternal Anda.

Jika Anda membuat penyimpanan kunci eksternal di AWS KMS konsol, Anda memiliki opsi untuk mengunggah file konfigurasi proxy JSON berbasis yang menentukan URIjalur proxy dan kredensi otentikasi proxy. Beberapa proxy penyimpanan kunci eksternal menghasilkan file ini untuk Anda. Untuk detailnya, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau pengelola kunci eksternal.

Manajer kunci eksternal

Setiap penyimpanan kunci eksternal memerlukan setidaknya satu instance pengelola kunci eksternal. Ini bisa berupa modul keamanan perangkat keras fisik atau virtual (HSM), atau perangkat lunak manajemen kunci.

Anda dapat menggunakan satu manajer kunci, tetapi kami merekomendasikan setidaknya dua contoh manajer kunci terkait yang berbagi kunci kriptografi untuk redundansi. Toko kunci eksternal tidak memerlukan penggunaan eksklusif manajer kunci eksternal. Namun, manajer kunci eksternal harus memiliki kapasitas untuk menangani frekuensi permintaan enkripsi dan dekripsi yang diharapkan dari AWS layanan yang menggunakan KMS kunci di penyimpanan kunci eksternal untuk melindungi sumber daya Anda. Manajer kunci eksternal Anda harus dikonfigurasi untuk menangani hingga 1800 permintaan per detik dan merespons dalam batas waktu 250 milidetik untuk setiap permintaan. Kami menyarankan Anda menemukan manajer kunci eksternal dekat dengan Wilayah AWS sehingga waktu pulang-pergi jaringan (RTT) adalah 35 milidetik atau kurang.

Jika proxy penyimpanan kunci eksternal Anda mengizinkannya, Anda dapat mengubah pengelola kunci eksternal yang Anda kaitkan dengan proxy penyimpanan kunci eksternal Anda, tetapi manajer kunci eksternal yang baru harus berupa cadangan atau snapshot dengan materi kunci yang sama. Jika kunci eksternal yang Anda kaitkan dengan KMS kunci tidak lagi tersedia untuk proxy penyimpanan kunci eksternal Anda, tidak AWS KMS dapat mendekripsi ciphertext yang dienkripsi dengan kunci tersebut. KMS

Manajer kunci eksternal harus dapat diakses oleh proxy penyimpanan kunci eksternal. Jika GetHealthStatusrespons dari proxy melaporkan bahwa semua instance pengelola kunci eksternal adalahUnavailable, semua upaya untuk membuat penyimpanan kunci eksternal gagal dengan file. XksProxyUriUnreachableException

Proksi penyimpanan kunci eksternal

Anda harus menentukan proxy penyimpanan kunci eksternal (XKSproxy) yang sesuai dengan persyaratan desain dalam APISpesifikasi Proxy Toko Kunci AWS KMS Eksternal. Anda dapat mengembangkan atau membeli proxy penyimpanan kunci eksternal, atau menggunakan proxy penyimpanan kunci eksternal yang disediakan oleh atau dibangun ke dalam manajer kunci eksternal Anda. AWS KMS merekomendasikan agar proxy penyimpanan kunci eksternal Anda dikonfigurasi untuk menangani hingga 1800 permintaan per detik dan merespons dalam batas waktu 250 milidetik untuk setiap permintaan. Kami menyarankan Anda menemukan manajer kunci eksternal dekat dengan Wilayah AWS sehingga waktu pulang-pergi jaringan (RTT) adalah 35 milidetik atau kurang.

Anda dapat menggunakan proxy penyimpanan kunci eksternal untuk lebih dari satu penyimpanan kunci eksternal, tetapi setiap penyimpanan kunci eksternal harus memiliki URI titik akhir dan jalur yang unik dalam proxy penyimpanan kunci eksternal untuk permintaannya.

Jika Anda menggunakan konektivitas layanan VPC endpoint, Anda dapat menemukan proxy penyimpanan kunci eksternal di Amazon AndaVPC, tetapi itu tidak diperlukan. Anda dapat menemukan proxy Anda di luar AWS, seperti di pusat data pribadi Anda, dan menggunakan layanan VPC endpoint hanya untuk berkomunikasi dengan proxy.

Kredensi otentikasi proxy

Untuk membuat penyimpanan kunci eksternal, Anda harus menentukan kredensi otentikasi proxy penyimpanan kunci eksternal Anda ()XksProxyAuthenticationCredential.

Anda harus membuat kredensi otentikasi (XksProxyAuthenticationCredential) untuk AWS KMS proxy penyimpanan kunci eksternal Anda. AWS KMS mengautentikasi proxy Anda dengan menandatangani permintaannya menggunakan proses Signature Version 4 (SigV4) dengan kredensi otentikasi proxy penyimpanan kunci eksternal. Anda menentukan kredensi otentikasi saat membuat penyimpanan kunci eksternal dan Anda dapat mengubahnya kapan saja. Jika proxy Anda memutar kredensi Anda, pastikan untuk memperbarui nilai kredensi untuk penyimpanan kunci eksternal Anda.

Kredensi otentikasi proxy memiliki dua bagian. Anda harus menyediakan kedua bagian untuk toko kunci eksternal Anda.

  • ID kunci akses: Mengidentifikasi kunci akses rahasia. Anda dapat memberikan ID ini dalam teks biasa.

  • Kunci akses rahasia: Bagian rahasia dari kredensi. AWS KMS mengenkripsi kunci akses rahasia di kredensi sebelum menyimpannya.

Kredensi SigV4 yang AWS KMS digunakan untuk menandatangani permintaan ke proxy penyimpanan kunci eksternal tidak terkait dengan kredensi SigV4 apa pun yang terkait dengan prinsip apa pun di akun Anda. AWS Identity and Access Management AWS Jangan gunakan kembali kredensi IAM SigV4 apa pun untuk proxy penyimpanan kunci eksternal Anda.

Konektivitas proxy

Untuk membuat penyimpanan kunci eksternal, Anda harus menentukan opsi konektivitas proxy penyimpanan kunci eksternal Anda (XksProxyConnectivity).

AWS KMS dapat berkomunikasi dengan proxy penyimpanan kunci eksternal Anda dengan menggunakan titik akhir publik atau layanan titik akhir Amazon Virtual Private Cloud (AmazonVPC). Meskipun titik akhir publik lebih mudah untuk dikonfigurasi dan dipelihara, itu mungkin tidak memenuhi persyaratan keamanan untuk setiap instalasi. Jika Anda memilih opsi konektivitas layanan VPC titik akhir Amazon, Anda harus membuat dan memelihara komponen yang diperlukan, termasuk Amazon VPC dengan setidaknya dua subnet di dua Availability Zone yang berbeda, layanan VPC endpoint dengan penyeimbang beban jaringan dan grup target, dan DNS nama pribadi untuk layanan endpoint. VPC

Anda dapat mengubah opsi konektivitas proxy untuk penyimpanan kunci eksternal Anda. Namun, Anda harus memastikan bahwa ketersediaan berkelanjutan dari materi utama yang terkait dengan KMS kunci di toko kunci eksternal Anda. Jika tidak, AWS KMS tidak dapat mendekripsi ciphertext apa pun yang dienkripsi dengan kunci tersebut. KMS

Untuk bantuan menentukan opsi konektivitas proxy mana yang terbaik untuk penyimpanan kunci eksternal Anda, lihatPilih opsi konektivitas proxy penyimpanan kunci eksternal. Untuk bantuan membuat konfigurasi konektivitas layanan VPC titik akhir, lihat. Konfigurasikan VPC konektivitas layanan titik akhir

Titik URI akhir proxy

Untuk membuat penyimpanan kunci eksternal, Anda harus menentukan endpoint (XksProxyUriEndpoint) yang AWS KMS digunakan untuk mengirim permintaan ke proxy penyimpanan kunci eksternal.

Protokolnya HTTPS harus AWS KMS berkomunikasi di port 443. Jangan tentukan port dalam nilai URI titik akhir proxy.

  • Konektivitas titik akhir publik - Tentukan titik akhir yang tersedia untuk umum untuk proxy penyimpanan kunci eksternal Anda. Titik akhir ini harus dapat dijangkau sebelum Anda membuat penyimpanan kunci eksternal Anda.

  • VPCkonektivitas layanan endpoint - Tentukan https:// diikuti dengan DNS nama pribadi layanan VPC endpoint.

Sertifikat TLS server yang dikonfigurasi pada proxy penyimpanan kunci eksternal harus cocok dengan nama domain di URI titik akhir proxy penyimpanan kunci eksternal dan dikeluarkan oleh otoritas sertifikat yang didukung untuk penyimpanan kunci eksternal. Untuk daftar, lihat Otoritas Sertifikat Tepercaya. Otoritas sertifikat Anda akan memerlukan bukti kepemilikan domain sebelum menerbitkan TLS sertifikat.

Nama umum subjek (CN) pada TLS sertifikat harus cocok dengan DNS nama pribadi. Misalnya, jika DNS nama pribadinyamyproxy-private.xks.example.com, CN pada TLS sertifikat harus myproxy-private.xks.example.com atau*.xks.example.com.

Anda dapat mengubah URI titik akhir proxy Anda, tetapi pastikan bahwa proxy penyimpanan kunci eksternal memiliki akses ke materi kunci yang terkait dengan KMS kunci di toko kunci eksternal Anda. Jika tidak, AWS KMS tidak dapat mendekripsi ciphertext apa pun yang dienkripsi dengan kunci tersebut. KMS

Persyaratan keunikan

  • Nilai URI titik akhir proxy (XksProxyUriEndpoint) dan proxy URI path (XksProxyUriPath) gabungan harus unik di Akun AWS dan Region.

  • Penyimpanan kunci eksternal dengan konektivitas titik akhir publik dapat berbagi URI titik akhir proxy yang sama, asalkan memiliki nilai URI jalur proxy yang berbeda.

  • Penyimpanan kunci eksternal dengan konektivitas titik akhir publik tidak dapat menggunakan nilai URI titik akhir proxy yang sama dengan penyimpanan kunci eksternal dengan konektivitas layanan VPC titik akhir yang sama Wilayah AWS, bahkan jika penyimpanan kunci berbeda. Akun AWS

  • Setiap toko kunci eksternal dengan konektivitas VPC titik akhir harus memiliki DNS nama pribadinya sendiri. URITitik akhir proxy (DNSnama pribadi) harus unik di Akun AWS dan Wilayah.

URIJalur proxy

Untuk membuat penyimpanan kunci eksternal, Anda harus menentukan jalur dasar di proxy penyimpanan kunci eksternal Anda ke proxy yang diperlukan APIs. Nilai harus dimulai dengan / dan harus diakhiri dengan/kms/xks/v1 di mana v1 mewakili versi AWS KMS API untuk proxy penyimpanan kunci eksternal. Jalur ini dapat menyertakan awalan opsional antara elemen yang diperlukan seperti/example-prefix/kms/xks/v1. Untuk menemukan nilai ini, lihat dokumentasi untuk proxy penyimpanan kunci eksternal Anda.

AWS KMS mengirimkan permintaan proxy ke alamat yang ditentukan oleh penggabungan URI titik akhir proxy dan jalur proxy. URI Misalnya, jika URI titik akhir proxy https://myproxy.xks.example.com dan URI jalur proxy adalah/kms/xks/v1, AWS KMS kirimkan API permintaan proksi kehttps://myproxy.xks.example.com/kms/xks/v1.

Anda dapat mengubah URI jalur proxy Anda, tetapi pastikan bahwa proxy penyimpanan kunci eksternal memiliki akses ke materi kunci yang terkait dengan KMS kunci di toko kunci eksternal Anda. Jika tidak, AWS KMS tidak dapat mendekripsi ciphertext apa pun yang dienkripsi dengan kunci tersebut. KMS

Persyaratan keunikan

  • Nilai URI titik akhir proxy (XksProxyUriEndpoint) dan proxy URI path (XksProxyUriPath) gabungan harus unik di Akun AWS dan Region.

VPClayanan endpoint

Menentukan nama layanan VPC endpoint Amazon yang digunakan untuk berkomunikasi dengan proxy penyimpanan kunci eksternal Anda. Komponen ini hanya diperlukan untuk penyimpanan kunci eksternal yang menggunakan konektivitas layanan VPC endpoint. Untuk bantuan menyiapkan dan mengonfigurasi layanan VPC titik akhir Anda untuk penyimpanan kunci eksternal, lihat. Konfigurasikan VPC konektivitas layanan titik akhir

Layanan VPC endpoint harus memiliki properti berikut:

  • Layanan VPC endpoint harus sama Akun AWS dan Region sebagai penyimpanan kunci eksternal.

  • Ini harus memiliki penyeimbang beban jaringan (NLB) yang terhubung ke setidaknya dua subnet, masing-masing di Availability Zone yang berbeda.

  • Daftar prinsip allow untuk layanan VPC endpoint harus menyertakan prinsip AWS KMS layanan untuk Wilayah:cks.kms.<region>.amazonaws.com, seperti. cks.kms.us-east-1.amazonaws.com

  • Itu tidak boleh memerlukan penerimaan permintaan koneksi.

  • Itu harus memiliki DNS nama pribadi dalam domain publik tingkat yang lebih tinggi. Misalnya, Anda dapat memiliki DNS nama pribadi myproxy-private.xks.example.com di domain publik. xks.example.com

    DNSNama pribadi untuk toko kunci eksternal dengan konektivitas layanan VPC endpoint harus unik di dalamnya Wilayah AWS.

  • Status verifikasi domain domain DNS nama pribadi harusverified.

  • Sertifikat TLS server yang dikonfigurasi pada proxy penyimpanan kunci eksternal harus menentukan DNS nama host pribadi di mana titik akhir dapat dijangkau.

Persyaratan keunikan

  • Toko kunci eksternal dengan konektivitas VPC titik akhir dapat berbagiAmazon VPC, tetapi setiap toko kunci eksternal harus memiliki layanan VPC titik akhir dan nama DNS pribadinya sendiri.

File konfigurasi proxy

File konfigurasi proxy adalah file JSON berbasis opsional yang berisi nilai untuk URIjalur proxy dan properti kredensi otentikasi proxy dari penyimpanan kunci eksternal Anda. Saat membuat atau mengedit penyimpanan kunci eksternal di AWS KMS konsol, Anda dapat mengunggah file konfigurasi proxy untuk menyediakan nilai konfigurasi untuk penyimpanan kunci eksternal Anda. Menggunakan file ini menghindari kesalahan pengetikan dan penyisipan, dan memastikan bahwa nilai di penyimpanan kunci eksternal Anda cocok dengan nilai di proxy penyimpanan kunci eksternal Anda.

File konfigurasi proxy dihasilkan oleh proxy penyimpanan kunci eksternal. Untuk mengetahui apakah proxy penyimpanan kunci eksternal Anda menawarkan file konfigurasi proxy, lihat dokumentasi proxy penyimpanan kunci eksternal Anda.

Berikut ini adalah contoh file konfigurasi proxy yang terbentuk dengan baik dengan nilai fiktif.

{
  "XksProxyUriPath": "/example-prefix/kms/xks/v1",
  "XksProxyAuthenticationCredential": {
    "AccessKeyId": "ABCDE12345670EXAMPLE",
    "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
  }
}

Anda dapat mengunggah file konfigurasi proxy hanya saat membuat atau mengedit penyimpanan kunci eksternal di AWS KMS konsol. Anda tidak dapat menggunakannya dengan UpdateCustomKeyStoreoperasi CreateCustomKeyStoreatau, tetapi Anda dapat menggunakan nilai dalam file konfigurasi proxy untuk memastikan bahwa nilai parameter Anda benar.

Buat toko kunci eksternal baru

Setelah Anda mengumpulkan prasyarat yang diperlukan, Anda dapat membuat toko kunci eksternal baru di AWS KMS konsol atau dengan menggunakan operasi. CreateCustomKeyStore

Sebelum membuat penyimpanan kunci eksternal, pilih jenis konektivitas proxy Anda dan pastikan bahwa Anda telah membuat dan mengonfigurasi semua komponen yang diperlukan. Jika Anda memerlukan bantuan untuk menemukan salah satu nilai yang diperlukan, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau perangkat lunak manajemen kunci Anda.

catatan

Saat Anda membuat penyimpanan kunci eksternal di AWS Management Console, Anda dapat mengunggah file konfigurasi proxy JSON berbasis dengan nilai untuk URIjalur proxy dan kredensi otentikasi proxy. Beberapa proxy menghasilkan file ini untuk Anda. Hal ini tidak diperlukan.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Toko kunci khusus, Toko kunci eksternal.

  4. Pilih Buat toko kunci eksternal.

  5. Masukkan nama ramah untuk toko kunci eksternal. Nama harus unik di antara semua toko kunci eksternal di akun Anda.

    penting

    Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.

  6. Pilih jenis konektivitas proxy Anda.

    Pilihan konektivitas proxy Anda menentukan komponen yang diperlukan untuk proxy penyimpanan kunci eksternal Anda. Untuk bantuan membuat pilihan ini, lihatPilih opsi konektivitas proxy penyimpanan kunci eksternal.

  7. Pilih atau masukkan nama layanan VPC titik akhir untuk penyimpanan kunci eksternal ini. Langkah ini hanya muncul ketika jenis konektivitas proxy penyimpanan kunci eksternal Anda adalah layanan VPC endpoint.

    Layanan VPC endpoint dan layanan VPCs harus memenuhi persyaratan untuk penyimpanan kunci eksternal. Untuk detailnya, lihat Memasang prasyarat.

  8. Masukkan URItitik akhir proxy Anda. Protokolnya HTTPS harus AWS KMS berkomunikasi di port 443. Jangan tentukan port dalam nilai URI titik akhir proxy.

    Jika AWS KMS mengenali layanan VPC endpoint yang Anda tentukan pada langkah sebelumnya, itu melengkapi bidang ini untuk Anda.

    Untuk konektivitas titik akhir publik, masukkan titik akhir yang tersedia untuk umum. URI Untuk konektivitas VPC endpoint, enter https:// diikuti dengan DNS nama pribadi layanan VPC endpoint.

  9. Untuk memasukkan nilai untuk awalan URIjalur proxy dan kredensi otentikasi proxy, unggah file konfigurasi proxy, atau masukkan nilai secara manual.

    • Jika Anda memiliki file konfigurasi proxy opsional yang berisi nilai untuk URIjalur proxy dan kredensi otentikasi proxy, pilih Unggah file konfigurasi. Ikuti langkah-langkah untuk mengunggah file.

      Saat file diunggah, konsol menampilkan nilai dari file di bidang yang dapat diedit. Anda dapat mengubah nilai sekarang atau mengedit nilai-nilai ini setelah penyimpanan kunci eksternal dibuat.

      Untuk menampilkan nilai kunci akses rahasia, pilih Tampilkan kunci akses rahasia.

    • Jika Anda tidak memiliki file konfigurasi proxy, Anda dapat memasukkan URI jalur proxy dan nilai kredensi otentikasi proxy secara manual.

      1. Jika Anda tidak memiliki file konfigurasi proxy, Anda dapat memasukkan proxy Anda URI secara manual. Konsol memasok nilai/kms/xks/v1 yang diperlukan.

        Jika URIjalur proxy Anda menyertakan awalan opsional, seperti example-prefix in/example-prefix/kms/xks/v1, masukkan awalan di bidang awalan URI jalur Proxy. Jika tidak, biarkan bidang kosong.

      2. Jika Anda tidak memiliki file konfigurasi proxy, Anda dapat memasukkan kredensi otentikasi proxy Anda secara manual. Baik ID kunci akses dan kunci akses rahasia diperlukan.

        • Dalam kredensi proxy: ID kunci akses, masukkan ID kunci akses dari kredensi otentikasi proxy. ID kunci akses mengidentifikasi kunci akses rahasia.

        • Di Proxy credential: Secret Access Key, masukkan kunci akses rahasia dari kredensi otentikasi proxy.

        Untuk menampilkan nilai kunci akses rahasia, pilih Tampilkan kunci akses rahasia.

        Prosedur ini tidak mengatur atau mengubah kredensi otentikasi yang Anda buat pada proxy penyimpanan kunci eksternal Anda. Itu hanya mengaitkan nilai-nilai ini dengan toko kunci eksternal Anda. Untuk informasi tentang pengaturan, perubahan, dan kredensi autentikasi proxy yang berputar, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau perangkat lunak manajemen kunci.

        Jika kredensi otentikasi proxy Anda berubah, edit setelan kredensi untuk penyimpanan kunci eksternal Anda.

  10. Pilih Buat toko kunci eksternal.

Ketika prosedur berhasil, toko kunci eksternal baru muncul dalam daftar toko kunci eksternal di akun dan wilayah. Jika prosedur gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat CreateKey kesalahan untuk kunci eksternal.

Berikutnya: Toko kunci eksternal baru tidak terhubung secara otomatis. Sebelum Anda dapat membuat AWS KMS keys di toko kunci eksternal Anda, Anda harus menghubungkan toko kunci eksternal ke proxy penyimpanan kunci eksternal.

Anda dapat menggunakan CreateCustomKeyStoreoperasi untuk membuat toko kunci eksternal baru. Untuk bantuan menemukan nilai untuk parameter yang diperlukan, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau perangkat lunak manajemen kunci.

Tip

Anda tidak dapat mengunggah file konfigurasi proxy saat menggunakan CreateCustomKeyStore operasi. Namun, Anda dapat menggunakan nilai dalam file konfigurasi proxy untuk memastikan bahwa nilai parameter Anda benar.

Untuk membuat penyimpanan kunci eksternal, CreateCustomKeyStore operasi memerlukan nilai parameter berikut.

  • CustomKeyStoreName— Nama ramah untuk toko kunci eksternal yang unik di akun.

    penting

    Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.

  • CustomKeyStoreType— TentukanEXTERNAL_KEY_STORE.

  • XksProxyConnectivity— Tentukan PUBLIC_ENDPOINT atauVPC_ENDPOINT_SERVICE.

  • XksProxyAuthenticationCredential— Tentukan ID kunci akses dan kunci akses rahasia.

  • XksProxyUriEndpoint— Titik akhir yang AWS KMS digunakan untuk berkomunikasi dengan proxy penyimpanan kunci eksternal Anda.

  • XksProxyUriPath— Jalur dalam proxy ke proxyAPIs.

  • XksProxyVpcEndpointServiceName— Diperlukan hanya ketika XksProxyConnectivity nilai AndaVPC_ENDPOINT_SERVICE.

catatan

Jika Anda menggunakan AWS CLI versi 1.0, jalankan perintah berikut sebelum menentukan parameter dengan HTTPS nilai HTTP atau, seperti XksProxyUriEndpoint parameter.

aws configure set cli_follow_urlparam false

Jika tidak, AWS CLI versi 1.0 menggantikan nilai parameter dengan konten yang ditemukan di URI alamat itu, menyebabkan kesalahan berikut:

Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404

Contoh berikut menggunakan nilai fiktif. Sebelum menjalankan perintah, ganti dengan nilai yang valid untuk penyimpanan kunci eksternal Anda.

Buat toko kunci eksternal dengan konektivitas titik akhir publik.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStorePublic \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity PUBLIC_ENDPOINT \
        --xks-proxy-uri-endpoint https://myproxy.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

Buat toko kunci eksternal dengan konektivitas layanan VPC endpoint.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStoreVPC \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
        --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
        --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

Saat operasi berhasil, CreateCustomKeyStore mengembalikan ID penyimpanan kunci kustom, seperti yang ditunjukkan dalam contoh tanggapan berikut.

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

Jika operasi gagal, perbaiki kesalahan yang ditunjukkan oleh pengecualian, dan coba lagi. Untuk bantuan tambahan, lihat Memecahkan masalah toko kunci eksternal.

Berikutnya: Untuk menggunakan penyimpanan kunci eksternal, sambungkan ke proxy penyimpanan kunci eksternal.