Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasikan VPC konektivitas layanan titik akhir
Gunakan panduan di bagian ini untuk membuat dan mengonfigurasi AWS sumber daya dan komponen terkait yang diperlukan untuk penyimpanan kunci eksternal yang menggunakan konektivitas layanan VPC titik akhir. Sumber daya yang terdaftar untuk opsi konektivitas ini adalah suplemen untuk sumber daya yang diperlukan untuk semua toko kunci eksternal. Setelah Anda membuat dan mengkonfigurasi sumber daya yang diperlukan, Anda dapat membuat penyimpanan kunci eksternal Anda.
Anda dapat menemukan proxy penyimpanan kunci eksternal di Amazon VPC atau menemukan proxy di luar AWS dan menggunakan layanan VPC endpoint Anda untuk komunikasi.
Sebelum Anda mulai, konfirmasikan bahwa Anda memerlukan toko kunci eksternal. Sebagian besar pelanggan dapat menggunakan KMS kunci yang didukung oleh materi AWS KMS utama.
catatan
Beberapa elemen yang diperlukan untuk konektivitas layanan VPC endpoint mungkin disertakan dalam pengelola kunci eksternal Anda. Selain itu, perangkat lunak Anda mungkin memiliki persyaratan konfigurasi tambahan. Sebelum membuat dan mengonfigurasi AWS sumber daya di bagian ini, lihat dokumentasi proxy dan manajer kunci Anda.
Topik
- Persyaratan untuk VPC konektivitas layanan endpoint
- Langkah 1: Buat Amazon VPC dan subnet
- Langkah 2: Buat grup target
- Langkah 3: Buat penyeimbang beban jaringan
- Langkah 4: Buat layanan VPC endpoint
- Langkah 5: Verifikasi domain DNS nama pribadi Anda
- Langkah 6: Otorisasi AWS KMS untuk terhubung ke layanan VPC endpoint
Persyaratan untuk VPC konektivitas layanan endpoint
Jika Anda memilih konektivitas layanan VPC titik akhir untuk penyimpanan kunci eksternal Anda, sumber daya berikut diperlukan.
Untuk meminimalkan latensi jaringan, buat AWS komponen Anda di bagian yang didukung Wilayah AWS yang paling dekat dengan pengelola kunci eksternal Anda. Jika memungkinkan, pilih Wilayah dengan waktu pulang-pergi jaringan (RTT) 35 milidetik atau kurang.
-
Amazon VPC yang terhubung ke pengelola kunci eksternal Anda. Itu harus memiliki setidaknya dua subnet pribadi di dua Availability Zone yang berbeda.
Anda dapat menggunakan Amazon yang ada VPC untuk toko kunci eksternal Anda, asalkan memenuhi persyaratan untuk digunakan dengan toko kunci eksternal. Beberapa toko kunci eksternal dapat berbagi AmazonVPC, tetapi setiap toko kunci eksternal harus memiliki layanan VPC titik akhir dan DNS nama pribadinya sendiri.
-
Layanan VPC endpoint Amazon yang didukung oleh AWS PrivateLink penyeimbang beban jaringan dan grup target.
Layanan endpoint tidak dapat memerlukan penerimaan. Juga, Anda harus menambahkan AWS KMS sebagai kepala sekolah yang diizinkan. Ini memungkinkan AWS KMS untuk membuat titik akhir antarmuka sehingga dapat berkomunikasi dengan proxy penyimpanan kunci eksternal Anda.
-
DNSNama pribadi untuk layanan VPC endpoint yang unik di dalamnya Wilayah AWS.
DNSNama pribadi harus merupakan subdomain dari domain publik tingkat yang lebih tinggi. Misalnya, jika DNS nama pribadinya
myproxy-private.xks.example.com, itu harus menjadi subdomain dari domain publik sepertixks.example.comatauexample.com.Anda harus memverifikasi kepemilikan DNS domain untuk DNS nama pribadi.
-
TLSSertifikat yang dikeluarkan oleh otoritas sertifikat publik yang didukung
untuk proxy penyimpanan kunci eksternal Anda. Nama umum subjek (CN) pada TLS sertifikat harus cocok dengan DNS nama pribadi. Misalnya, jika DNS nama pribadinya
myproxy-private.xks.example.com, CN pada TLS sertifikat harusmyproxy-private.xks.example.comatau*.xks.example.com.
Untuk semua persyaratan untuk penyimpanan kunci eksternal, lihat Merakit prasyarat.
Langkah 1: Buat Amazon VPC dan subnet
VPCkonektivitas layanan endpoint memerlukan Amazon VPC yang terhubung ke pengelola kunci eksternal Anda dengan setidaknya dua subnet pribadi. Anda dapat membuat Amazon VPC atau menggunakan Amazon yang sudah ada VPC yang memenuhi persyaratan untuk toko kunci eksternal. Untuk bantuan dalam membuat Amazon baruVPC, lihat Membuat VPC di Panduan Pengguna Amazon Virtual Private Cloud.
Persyaratan untuk Amazon Anda VPC
Untuk bekerja dengan toko kunci eksternal menggunakan konektivitas layanan VPC endpoint, Amazon VPC harus memiliki properti berikut:
-
Harus berada di Wilayah yang sama Akun AWS dan didukung sebagai toko kunci eksternal Anda.
-
Memerlukan setidaknya dua subnet pribadi, masing-masing di Availability Zone yang berbeda.
-
Rentang alamat IP pribadi Amazon Anda tidak VPC boleh tumpang tindih dengan rentang alamat IP pribadi dari pusat data yang menghosting manajer kunci eksternal Anda.
-
Semua komponen harus digunakanIPv4.
Anda memiliki banyak opsi untuk menghubungkan Amazon VPC ke proxy toko kunci eksternal Anda. Pilih opsi yang memenuhi kebutuhan kinerja dan keamanan Anda. Untuk daftar, lihat Connect your VPC to other networks and Network-to-Amazon VPCconnectivity options. Untuk detail selengkapnya AWS Direct Connect, lihat, dan Panduan AWS Site-to-Site VPN Pengguna.
Membuat Amazon VPC untuk toko kunci eksternal Anda
Gunakan petunjuk berikut untuk membuat Amazon VPC untuk toko kunci eksternal Anda. Amazon hanya VPC diperlukan jika Anda memilih opsi konektivitas layanan VPC endpoint. Anda dapat menggunakan Amazon yang sudah ada VPC yang memenuhi persyaratan untuk toko kunci eksternal.
Ikuti petunjuk dalam topik BuatVPC, subnet, dan VPC sumber daya lainnya menggunakan nilai wajib berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.
| Bidang | Nilai |
|---|---|
| IPv4CIDRblok | Masukkan alamat IP untuk AndaVPC. Rentang alamat IP pribadi Amazon Anda tidak VPC boleh tumpang tindih dengan rentang alamat IP pribadi dari pusat data yang menghosting manajer kunci eksternal Anda. |
| Jumlah Availability Zone (AZs) | 2 atau lebih |
| Jumlah subnet publik |
Tidak ada yang diperlukan (0) |
| Jumlah subnet pribadi | Satu untuk setiap AZ |
| NATgerbang | Tidak ada yang diperlukan. |
| VPCtitik akhir | Tidak ada yang diperlukan. |
| Aktifkan DNS nama host | Ya |
| Aktifkan DNS resolusi | Ya |
Pastikan untuk menguji VPC komunikasi Anda. Misalnya, jika proxy penyimpanan kunci eksternal Anda tidak terletak di Amazon AndaVPC, buat EC2 instans Amazon di Amazon AndaVPC, verifikasi bahwa Amazon VPC dapat berkomunikasi dengan proxy penyimpanan kunci eksternal Anda.
Menghubungkan VPC ke manajer kunci eksternal
Hubungkan VPC ke pusat data yang menampung pengelola kunci eksternal Anda menggunakan salah satu opsi konektivitas jaringan yang VPC didukung Amazon. Pastikan EC2 instans Amazon di VPC (atau proxy penyimpanan kunci eksternal, jika ada diVPC), dapat berkomunikasi dengan pusat data dan pengelola kunci eksternal.
Langkah 2: Buat grup target
Sebelum Anda membuat layanan VPC endpoint yang diperlukan, buat komponen yang diperlukan, network load balancer (NLB) dan grup target. Network load balancer (NLB) mendistribusikan permintaan di antara beberapa target sehat, yang mana pun dapat melayani permintaan. Pada langkah ini, Anda membuat grup target dengan setidaknya dua host untuk proxy penyimpanan kunci eksternal Anda, dan mendaftarkan alamat IP Anda dengan grup target.
Ikuti petunjuk dalam Mengkonfigurasi topik grup target menggunakan nilai wajib berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.
| Bidang | Nilai |
|---|---|
| Tipe target | Alamat IP |
| Protokol | TCP |
| Port |
443 |
| Jenis alamat IP | IPv4 |
| VPC | Pilih VPC tempat Anda akan membuat layanan VPC endpoint untuk toko kunci eksternal Anda. |
| Protokol dan jalur pemeriksaan kesehatan | Protokol dan jalur pemeriksaan kesehatan Anda akan berbeda dengan konfigurasi proxy penyimpanan kunci eksternal Anda. Konsultasikan dokumentasi untuk pengelola kunci eksternal atau proxy penyimpanan kunci eksternal Anda. Untuk informasi umum tentang mengonfigurasi pemeriksaan kesehatan untuk grup target Anda, lihat Pemeriksaan Kesehatan untuk grup target Anda di Panduan Pengguna Elastic Load Balancing untuk Network Load Balancers. |
| Jaringan | Alamat IP pribadi lainnya |
| IPv4alamat | Alamat pribadi proxy toko kunci eksternal Anda |
| Port | 443 |
Langkah 3: Buat penyeimbang beban jaringan
Penyeimbang beban jaringan mendistribusikan lalu lintas jaringan, termasuk permintaan dari AWS KMS proxy penyimpanan kunci eksternal Anda, ke target yang dikonfigurasi.
Ikuti petunjuk dalam Konfigurasi penyeimbang beban dan topik pendengar untuk mengonfigurasi dan menambahkan pendengar dan membuat penyeimbang beban menggunakan nilai wajib berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.
| Bidang | Nilai |
|---|---|
| Skema | Internal |
| Jenis alamat IP | IPv4 |
| Pemetaan jaringan |
Pilih VPC tempat Anda akan membuat layanan VPC endpoint untuk toko kunci eksternal Anda. |
| Pemetaan | Pilih kedua zona ketersediaan (setidaknya dua) yang Anda konfigurasikan untuk VPC subnet Anda. Verifikasi nama subnet dan alamat IP pribadi. |
| Protokol | TCP |
| Port | 443 |
| Tindakan default: Teruskan ke | Pilih grup target untuk penyeimbang beban jaringan Anda. |
Langkah 4: Buat layanan VPC endpoint
Biasanya, Anda membuat titik akhir ke layanan. Namun, ketika Anda membuat layanan VPC endpoint, Anda adalah penyedia, dan AWS KMS membuat titik akhir untuk layanan Anda. Untuk penyimpanan kunci eksternal, buat layanan VPC endpoint dengan penyeimbang beban jaringan yang Anda buat pada langkah sebelumnya. Layanan VPC endpoint harus berada di Wilayah yang sama Akun AWS dan didukung sebagai penyimpanan kunci eksternal Anda.
Beberapa toko kunci eksternal dapat berbagi AmazonVPC, tetapi setiap toko kunci eksternal harus memiliki layanan VPC titik akhir dan DNS nama pribadinya sendiri.
Ikuti petunjuk dalam topik Create an endpoint service untuk membuat layanan VPC endpoint Anda dengan nilai wajib berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.
| Bidang | Nilai |
|---|---|
| Tipe penyeimbang beban | Jaringan |
| Penyeimbang beban yang tersedia | Pilih penyeimbang beban jaringan yang Anda buat pada langkah sebelumnya. Jika penyeimbang beban baru Anda tidak muncul dalam daftar, verifikasi bahwa statusnya aktif. Mungkin perlu beberapa menit agar status penyeimbang beban berubah dari penyediaan menjadi aktif. |
| Penerimaan diperlukan | Salah. Hapus centang pada kotak centang. Tidak memerlukan penerimaan. AWS KMS tidak dapat terhubung ke layanan VPC titik akhir tanpa penerimaan manual. Jika penerimaan diperlukan, upaya untuk membuat penyimpanan kunci eksternal gagal dengan |
| Aktifkan DNS nama pribadi | Kaitkan DNS nama pribadi dengan layanan |
| DNSNama pribadi | Masukkan DNS nama pribadi yang unik di dalamnya Wilayah AWS. DNSNama pribadi harus menjadi subdomain dari domain publik tingkat yang lebih tinggi. Misalnya, jika DNS nama pribadinya DNSNama pribadi ini harus cocok dengan nama umum subjek (CN) dalam TLS sertifikat yang dikonfigurasi pada proxy penyimpanan kunci eksternal Anda. Misalnya, jika DNS nama pribadinya Jika sertifikat dan DNS nama pribadi tidak cocok, upaya untuk menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal gagal dengan kode kesalahan koneksi |
| Jenis alamat IP yang didukung | IPv4 |
Langkah 5: Verifikasi domain DNS nama pribadi Anda
Saat Anda membuat layanan VPC endpoint, status verifikasi domainnya adalahpendingVerification. Sebelum menggunakan layanan VPC endpoint untuk membuat penyimpanan kunci eksternal, status ini harusverified. Untuk memverifikasi bahwa Anda memiliki domain yang terkait dengan DNS nama pribadi Anda, Anda harus membuat TXT catatan di DNS server publik.
Misalnya, jika DNS nama pribadi untuk layanan VPC endpoint Anda adalahmyproxy-private.xks.example.com, Anda harus membuat TXT catatan di domain publik, seperti xks.example.com atauexample.com, mana pun yang bersifat publik. AWS PrivateLink mencari TXT rekor pertama xks.example.com dan kemudianexample.com.
Tip
Setelah Anda menambahkan TXT catatan, mungkin perlu beberapa menit untuk mengubah nilai status verifikasi Domain dari pendingVerification keverify.
Untuk memulai, cari status verifikasi domain Anda menggunakan salah satu metode berikut. Nilai yang valid adalah verified, pendingVerification, dan failed.
-
Di VPCkonsol Amazon
, pilih layanan Endpoint, dan pilih layanan endpoint Anda. Di panel detail, lihat Status verifikasi domain. -
Gunakan DescribeVpcEndpointServiceConfigurationsoperasi.
StateNilainya ada diServiceConfigurations.PrivateDnsNameConfiguration.Statelapangan.
Jika status verifikasi tidakverified, ikuti petunjuk dalam topik verifikasi kepemilikan Domain untuk menambahkan TXT catatan ke DNS server domain Anda dan memverifikasi bahwa TXT catatan tersebut diterbitkan. Kemudian periksa kembali status verifikasi Anda.
Anda tidak diharuskan untuk membuat catatan A untuk nama DNS domain pribadi. Saat AWS KMS membuat titik akhir antarmuka ke layanan VPC titik akhir Anda, AWS PrivateLink secara otomatis membuat zona yang dihosting dengan catatan A yang diperlukan untuk nama domain pribadi di. AWS KMS VPC Untuk penyimpanan kunci eksternal dengan konektivitas layanan VPC titik akhir, ini terjadi ketika Anda menghubungkan penyimpanan kunci eksternal Anda ke proxy penyimpanan kunci eksternal.
Langkah 6: Otorisasi AWS KMS untuk terhubung ke layanan VPC endpoint
Anda harus menambahkan AWS KMS ke daftar Izinkan prinsipal untuk layanan endpoint AndaVPC. Hal ini memungkinkan AWS KMS untuk membuat titik akhir antarmuka ke layanan VPC endpoint Anda. Jika AWS KMS bukan prinsipal yang diizinkan, upaya untuk membuat penyimpanan kunci eksternal akan gagal dengan XksProxyVpcEndpointServiceNotFoundException pengecualian.
Ikuti petunjuk dalam topik Kelola izin di AWS PrivateLink Panduan. Gunakan nilai yang diperlukan berikut.
| Bidang | Nilai |
|---|---|
| ARN | cks.kms.Sebagai contoh, |
Selanjutnya: Buat toko kunci eksternal
