Creare un archivio di chiavi esterno - AWS Key Management Service
Assemblare i prerequisitiCrea un nuovo archivio di chiavi esterno

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creare un archivio di chiavi esterno

È possibile creare uno o più archivi di chiavi esterni in ciascuna Account AWS regione. Ogni archivio chiavi esterno deve essere associato a un gestore di chiavi esterno a e a un proxy di AWS archiviazione chiavi esterno (proxy XKS) che media la comunicazione tra AWS KMS e il gestore di chiavi esterno. Per informazioni dettagliate, consultare Scegli un'opzione di connettività proxy per l'archivio di chiavi esterno. Prima di iniziare, verifica che sia necessario un archivio delle chiavi esterne. La maggior parte dei clienti può utilizzare chiavi KMS supportate da AWS KMS materiale chiave.

Suggerimento

Alcuni gestori delle chiavi esterne offrono un metodo più semplice per creare un relativo archivio. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.

Prima di creare l'archivio delle chiavi esterne, devi assemblare i prerequisiti. Durante il processo di creazione, specifica le proprietà dell'archivio delle chiavi esterne. La cosa più importante è indicare se l'archivio chiavi esterno AWS KMS utilizza un endpoint pubblico o un servizio endpoint VPC per connettersi al proxy dell'archivio chiavi esterno. È inoltre necessario specificare i dettagli della connessione, incluso l'endpoint URI del proxy e il percorso all'interno di tale endpoint proxy AWS KMS da cui invia le richieste API al proxy.

  • Se utilizzi la connettività degli endpoint pubblici, assicurati che sia in AWS KMS grado di comunicare con il proxy su Internet utilizzando una connessione HTTPS. Ciò include la configurazione di TLS sul proxy dell'archivio chiavi esterno e la garanzia che tutti i firewall tra AWS KMS e il proxy consentano il traffico da e verso la porta 443 del proxy. Durante la creazione di un archivio di chiavi esterno con connettività endpoint pubblica, AWS KMS verifica la connessione inviando una richiesta di stato al proxy dell'archivio chiavi esterno. Questo test verifica che l'endpoint sia raggiungibile e che il proxy accetti una richiesta firmata con le credenziali di autenticazione proxy dell'archivio delle chiavi esterne. Se tale richiesta di test fallisce, l'operazione di creazione dell'archivio delle chiavi esterne ha esito negativo.

  • Se utilizzi la connettività del servizio endpoint VPC, assicurati che il Network Load Balancer, il nome DNS privato e il servizio endpoint VPC siano operativi e configurati correttamente. Se il proxy dell'archivio chiavi esterno non si trova nel VPC, devi assicurarti che il servizio endpoint VPC possa comunicare con il proxy dell'archivio chiavi esterno. (AWS KMS verifica la connettività del servizio endpoint VPC quando si collega l'archivio chiavi esterno al relativo proxy dell'archivio chiavi esterno.)

Ulteriori considerazioni:

  • AWS KMS registra i CloudWatch parametri e le dimensioni di Amazon, in particolare per gli archivi di chiavi esterni. I grafici di monitoraggio basati su alcune di queste metriche vengono visualizzati nella AWS KMS console per ogni archivio di chiavi esterno. Ti consigliamo di utilizzare questi parametri per creare allarmi in grado di monitorare tale archivio, in modo da poter rilevare eventuali segnali relativi a problemi operativi e prestazionali prima che si verifichino. Per istruzioni, consulta Monitora gli archivi di chiavi esterni.

  • Gli archivi delle chiavi esterne sono soggetti a quote di risorse. L'uso delle chiavi KMS in un archivio delle chiavi esterne è soggetto a quote di richieste. Esamina queste quote prima di progettare l'implementazione dell'archivio delle chiavi esterne.

Nota

Rivedi la tua configurazione per verificare eventuali dipendenze circolari che potrebbero impedirne il funzionamento.

Ad esempio, se crei il proxy dell'archivio chiavi esterno utilizzando AWS risorse, assicurati che il funzionamento del proxy non richieda la disponibilità di una chiave KMS in un archivio di chiavi esterno a cui si accede tramite tale proxy.

Tutti i nuovi archivi delle chiavi esterne vengono creati in uno stato disconnesso. Prima di poter creare chiavi KMS nell'archivio delle chiavi esterne, devi collegarlo al relativo proxy. Per modificare le proprietà dell'archivio delle chiavi esterne, modifica le impostazioni.

Assemblare i prerequisiti

Prima di creare un archivio chiavi esterno, è necessario assemblare i componenti richiesti, incluso il gestore di chiavi esterno che verrà utilizzato per supportare l'archivio chiavi esterno e il proxy dell'archivio chiavi esterno che traduce AWS KMS le richieste in un formato comprensibile al gestore di chiavi esterno.

I seguenti componenti sono necessari per tutti gli archivi delle chiavi esterne. Oltre a questi elementi, devi fornire anche i componenti necessari per supportare l'opzione di connettività proxy dell'archivio delle chiavi esterne scelta.

Suggerimento

Il gestore delle chiavi esterne potrebbe includere alcuni di questi componenti oppure potrebbero essere configurati automaticamente. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.

Se state creando l'archivio di chiavi esterno nella AWS KMS console, avete la possibilità di caricare un file di configurazione proxy basato su JSON che specifica il percorso URI del proxye le credenziali di autenticazione del proxy. Alcuni proxy dell'archivio delle chiavi esterne generano automaticamente questo file. Per maggiori dettagli, consulta la documentazione relativa al proxy dell'archivio delle chiavi esterne o al gestore delle chiavi esterne.

Gestore delle chiavi esterne

Ogni archivio delle chiavi esterne richiede almeno un'istanza del gestore delle chiavi esterne. Può trattarsi di un modulo di sicurezza hardware (HSM) fisico o virtuale o di un software di gestione delle chiavi.

Sebbene sia possibile utilizzare un unico gestore delle chiavi, ti consigliamo di impiegare almeno due istanze correlate che condividono chiavi crittografiche per motivi di ridondanza. L'archivio delle chiavi esterne non richiede l'uso esclusivo del gestore delle chiavi esterne. Tuttavia, il gestore delle chiavi esterno deve avere la capacità di gestire la frequenza prevista delle richieste di crittografia e decrittografia provenienti dai AWS servizi che utilizzano le chiavi KMS nell'archivio chiavi esterno per proteggere le risorse. Il gestore delle chiavi esterne deve essere configurato per gestire fino a 1.800 richieste al secondo e per rispondere a ciascuna richiesta entro il timeout di 250 millisecondi. Ti consigliamo di posizionare il gestore delle chiavi esterno vicino a un in Regione AWS modo che il tempo di andata e ritorno della rete (RTT) sia pari o inferiore a 35 millisecondi.

Se il proxy dell'archivio delle chiavi esterne lo consente, puoi modificare il gestore delle chiavi esterne associato al proxy, tuttavia il nuovo gestore deve essere un backup o uno snapshot con lo stesso materiale della chiave. Se la chiave esterna associata a una chiave KMS non è più disponibile per il proxy dell'archivio chiavi esterno, non è AWS KMS possibile decrittografare il testo cifrato crittografato con la chiave KMS.

Il gestore delle chiavi esterne deve essere accessibile al proxy dell'archivio delle chiavi esterne. Se la GetHealthStatusrisposta del proxy riporta che tutte le istanze del gestore di chiavi esterno lo sonoUnavailable, tutti i tentativi di creare un archivio di chiavi esterno falliscono con un. XksProxyUriUnreachableException

Proxy dell'archivio delle chiavi esterne

Devi specificare un proxy dell'archivio delle chiavi esterne (proxy XKS) conforme ai requisiti di progettazione della Specifica API relativa al proxy dell'archivio delle chiavi esterne di AWS KMS. È possibile sviluppare o acquistare un proxy di archiviazione chiavi esterno oppure utilizzare un proxy di archiviazione chiavi esterno fornito o integrato nel gestore di chiavi esterno. AWS KMS consiglia di configurare il proxy di archiviazione delle chiavi esterno per gestire fino a 1800 richieste al secondo e rispondere entro il timeout di 250 millisecondi per ogni richiesta. Si consiglia di posizionare il gestore delle chiavi esterno vicino a un in Regione AWS modo che il tempo di andata e ritorno della rete (RTT) sia pari o inferiore a 35 millisecondi.

Puoi utilizzare un proxy dell'archivio delle chiavi esterne per più archivi, ma ogni archivio deve disporre di un endpoint URI univoco e di un percorso all'interno del proxy dell'archivio delle chiavi esterne per le relative richieste.

Se utilizzi la connettività del servizio endpoint VPC, puoi collocare il proxy dell'archivio delle chiavi esterne in Amazon VPC, ma ciò non è necessario. Puoi localizzare il proxy all'esterno AWS, ad esempio nel tuo data center privato, e utilizzare il servizio endpoint VPC solo per comunicare con il proxy.

Credenziali di autenticazione proxy

Per creare un archivio delle chiavi esterne, devi specificare le credenziali di autenticazione proxy dell'archivio (XksProxyAuthenticationCredential).

È necessario stabilire una credenziale di autenticazione (XksProxyAuthenticationCredential) per AWS KMS il proxy dell'archivio chiavi esterno. AWS KMS si autentica sul proxy firmando le relative richieste utilizzando il processo Signature Version 4 (SigV4) con la credenziale di autenticazione proxy del key store esterno. Puoi specificare le credenziali di autenticazione durante la creazione dell'archivio delle chiavi esterne e modificarle in qualsiasi momento. Se il proxy effettua la rotazione delle credenziali, assicurati di aggiornare i valori delle credenziali per l'archivio delle chiavi esterne.

Le credenziali di autenticazione proxy sono composte da due parti. Per l'archivio delle chiavi esterne, devi fornire entrambe.

  • ID chiave di accesso: identifica la chiave di accesso segreta. Puoi fornire questo ID come testo non crittografato.

  • Chiave di accesso segreta: la parte segreta della credenziale. AWS KMS crittografa la chiave di accesso segreta nella credenziale prima di archiviarla.

Le credenziali SigV4 AWS KMS utilizzate per firmare le richieste al proxy dell'archivio chiavi esterno non sono correlate alle credenziali SigV4 associate ai principali degli account. AWS Identity and Access Management AWS Non riutilizzare le credenziali SigV4 IAM per il proxy dell'archivio delle chiavi esterne.

Connettività proxy

Per creare un archivio delle chiavi esterne, devi specificare l'opzione di connettività proxy (XksProxyConnectivity).

AWS KMS può comunicare con il tuo proxy di archiviazione delle chiavi esterno utilizzando un endpoint pubblico o un servizio endpoint Amazon Virtual Private Cloud (Amazon VPC). Sebbene un endpoint pubblico sia più semplice da configurare e gestire, potrebbe non soddisfare i requisiti di sicurezza per ogni installazione. Se scegli l'opzione di connettività del servizio endpoint Amazon VPC, devi creare e gestire i componenti richiesti, tra cui un Amazon VPC con almeno due sottoreti in due diverse zone di disponibilità, un servizio endpoint VPC con un Network Load Balancer e un gruppo di destinazione e un nome DNS privato per il servizio endpoint VPC.

Puoi modificare l'opzione di connettività proxy dell'archivio delle chiavi esterne. Tuttavia, devi assicurarti che il materiale della chiave associato alle chiavi KMS sia sempre disponibile nell'archivio. Altrimenti, AWS KMS non può decrittografare alcun testo cifrato crittografato con tali chiavi KMS.

Per informazioni relative all'opzione di connettività proxy migliore per l'archivio delle chiavi esterne, consulta Scegli un'opzione di connettività proxy per l'archivio di chiavi esterno. Per informazioni sulla creazione e sulla configurazione della connettività del servizio endpoint VPC, consulta Configurazione della connettività del servizio endpoint VPC.

Endpoint dell'URI proxy

Per creare un archivio di chiavi esterno, è necessario specificare l'endpoint (XksProxyUriEndpoint) da AWS KMS utilizzare per inviare le richieste al proxy dell'archivio chiavi esterno.

Il protocollo deve essere HTTPS. AWS KMS comunica sulla porta 443. Non specificare la porta nel valore dell'endpoint URI proxy.

Il certificato del server TLS configurato sul proxy dell'archivio delle chiavi esterne deve corrispondere al nome di dominio nell'endpoint URI proxy ed essere emesso da un'autorità di certificazione supportata per gli archivi delle chiavi esterne. Per un elenco, consulta Autorità di certificazione attendibili. L'autorità di certificazione richiederà una prova della proprietà del dominio prima di emettere il certificato TLS.

Il nome comune del soggetto (CN) sul certificato TLS deve corrispondere al nome DNS privato. Ad esempio, se il nome DNS privato è myproxy-private.xks.example.com, il CN sul certificato TLS deve essere myproxy-private.xks.example.com o *.xks.example.com.

Puoi modificare l'endpoint dell'URI proxy, tuttavia devi assicurarti che il proxy dell'archivio delle chiavi esterne abbia accesso al materiale della chiave associato alle chiavi KMS nell'archivio. Altrimenti, AWS KMS non può decrittografare alcun testo cifrato crittografato con quelle chiavi KMS.

Requisiti di unicità

  • Il valore combinato di endpoint dell'URI proxy (XksProxyUriEndpoint) e percorso URI proxy (XksProxyUriPath) deve essere univoco nel tuo Account AWS e nella regione.

  • Gli archivi delle chiavi esterne con connettività dell'endpoint pubblico possono condividere lo stesso endpoint URI proxy, a condizione che abbiano valori diversi per il percorso URI proxy.

  • Un archivio di chiavi esterno con connettività endpoint pubblica non può utilizzare lo stesso valore di endpoint URI proxy di qualsiasi archivio di chiavi esterno con connettività dei servizi endpoint VPC nello stesso archivio Regione AWS, anche se gli archivi di chiavi si trovano in archivi diversi. Account AWS

  • Ogni archivio delle chiavi esterne con connettività all'endpoint VPC deve avere il proprio nome DNS privato. L'endpoint URI proxy (nome DNS privato) deve essere univoco nella regione and. Account AWS

Percorso URI proxy

Per creare un archivio di chiavi esterno, è necessario specificare il percorso di base del proxy di archiviazione delle chiavi esterno fino al proxy richiesto. APIs Il valore deve iniziare con / e deve terminare con/kms/xks/v1, dove v1 rappresenta la versione dell' AWS KMS API per il proxy dell'archivio di chiavi esterno. Questo percorso può includere un prefisso facoltativo tra gli elementi richiesti, ad esempio /example-prefix/kms/xks/v1. Per trovare questo valore, consulta la documentazione del proxy dell'archivio delle chiavi esterne.

AWS KMS invia le richieste proxy all'indirizzo specificato dalla concatenazione dell'endpoint URI del proxy e del percorso URI del proxy. Ad esempio, se l'endpoint URI del proxy è https://myproxy.xks.example.com e il percorso URI del proxy è/kms/xks/v1, AWS KMS invia le relative richieste API proxy a. https://myproxy.xks.example.com/kms/xks/v1

Puoi modificare il percorso URI proxy, tuttavia devi assicurarti che il proxy dell'archivio delle chiavi esterne abbia accesso al materiale della chiave associato alle chiavi KMS nell'archivio. In caso contrario, AWS KMS non è possibile decrittografare alcun testo cifrato crittografato con tali chiavi KMS.

Requisiti di unicità

  • Il valore combinato di endpoint dell'URI proxy (XksProxyUriEndpoint) e percorso URI proxy (XksProxyUriPath) deve essere univoco nel tuo Account AWS e nella regione.

Servizio endpoint VPC

Specifica il nome del servizio endpoint Amazon VPC utilizzato per comunicare con il proxy dell'archivio delle chiavi esterne. Questo componente è richiesto solo per gli archivi delle chiavi esterne che utilizzano la connettività del servizio endpoint VPC. Per informazioni sull'impostazione e sulla configurazione del servizio endpoint VPC per un archivio delle chiavi esterne, consulta Configurazione della connettività del servizio endpoint VPC.

Il servizio endpoint VPC deve avere le seguenti proprietà:

  • Il servizio endpoint VPC deve trovarsi nella stessa Account AWS regione dell'archivio chiavi esterno.

  • Deve avere un Network Load Balancer (NLB) connesso ad almeno due sottoreti, ognuna in una zona di disponibilità diversa.

  • L'elenco dei principali consentiti per il servizio endpoint VPC deve includere AWS KMS l'entità del servizio per la regionecks.kms.<region>.amazonaws.com:, ad esempio. cks.kms.us-east-1.amazonaws.com

  • Non deve richiedere l'accettazione delle richieste di connessione.

  • Deve avere un nome DNS privato all'interno di un dominio pubblico di livello superiore. Ad esempio, potresti avere un nome DNS privato myproxy-private.xks.example.com nel dominio xks.example.com pubblico.

    Il nome DNS privato per un archivio delle chiavi esterne con connettività del servizio endpoint VPC deve essere univoco nella Regione AWS.

  • Lo stato di verifica del dominio per il dominio del nome DNS privato deve essere verified.

  • Il certificato del server TLS configurato sul proxy dell'archivio delle chiavi esterne deve indicare il nome host DNS privato in cui l'endpoint è raggiungibile.

Requisiti di unicità

  • Gli archivi delle chiavi esterne con connettività all'endpoint VPC possono condividere un Amazon VPC, ma ogni archivio deve avere il proprio servizio endpoint VPC e il proprio nome DNS privato.

File di configurazione proxy

Un file di configurazione proxy è un file facoltativo basato su JSON che contiene valori per le proprietà del percorso URI proxy e delle credenziali di autenticazione proxy dell'archivio delle chiavi esterne. Quando crei o modifichi un archivio delle chiavi esterne nella console AWS KMS , puoi caricare un file di configurazione proxy per fornire i valori di configurazione dell'archivio. L'utilizzo di questo file consente di evitare errori correlati alle operazioni di digitazione e di copia e incolla, garantendo che i valori nell'archivio delle chiavi esterne corrispondano ai valori del relativo proxy.

I file di configurazione proxy vengono generati dal proxy dell'archivio delle chiavi esterne. Per scoprire se il proxy dell'archivio delle chiavi esterne offre un file di configurazione proxy, consulta la relativa documentazione.

Di seguito è riportato un esempio di un file di configurazione proxy ben formato con valori fittizi.

{
  "XksProxyUriPath": "/example-prefix/kms/xks/v1",
  "XksProxyAuthenticationCredential": {
    "AccessKeyId": "ABCDE12345670EXAMPLE",
    "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
  }
}

È possibile caricare un file di configurazione del proxy solo durante la creazione o la modifica di un archivio di chiavi esterno nella console. AWS KMS Non è possibile utilizzarlo con le UpdateCustomKeyStoreoperazioni CreateCustomKeyStoreo, ma è possibile utilizzare i valori nel file di configurazione del proxy per garantire che i valori dei parametri siano corretti.

Crea un nuovo archivio di chiavi esterno

Dopo aver assemblato i prerequisiti necessari, è possibile creare un nuovo archivio di chiavi esterno nella AWS KMS console o utilizzando l'CreateCustomKeyStoreoperazione.

Prima di creare un archivio di chiavi esterno, scegli il tipo di connettività proxy e assicurati di aver creato e configurato tutti i componenti richiesti. Se hai bisogno di aiuto per trovare uno dei valori richiesti, consulta la documentazione del proxy dell'archivio delle chiavi esterne o del software di gestione delle chiavi.

Nota

Quando crei un archivio di chiavi esterno in AWS Management Console, puoi caricare un file di configurazione proxy basato su JSON con i valori per il percorso URI del proxy e le credenziali di autenticazione del proxy. Alcuni proxy generano automaticamente questo file, ma non è obbligatorio.

  1. Accedi a AWS Management Console e apri la console AWS Key Management Service (AWS KMS) su /kms. https://console.aws.amazon.com

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel pannello di navigazione, scegli Custom key stores (Archivi delle chiavi personalizzate), External key stores (Archivi delle chiavi esterne).

  4. Scegli Create external key store (Crea archivio delle chiavi esterne).

  5. Immetti un nome descrittivo per l'archivio delle chiavi esterne. Il nome deve essere univoco tra tutti gli archivi delle chiavi esterne nel tuo account.

    Importante

    Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei log e in altri output. CloudTrail

  6. Scegli il tipo di connettività proxy.

    La scelta della connettività proxy determina i componenti necessari per il proxy dell'archivio delle chiavi esterne. Per assistenza durante la scelta, consulta Scegli un'opzione di connettività proxy per l'archivio di chiavi esterno.

  7. Scegli o inserisci il nome del servizio endpoint VPC per questo archivio delle chiavi esterne. Questo passaggio viene visualizzato solo quando il tipo di connettività proxy è servizio endpoint VPC.

    Il servizio endpoint VPC e il suo VPCs devono soddisfare i requisiti per un archivio di chiavi esterno. Per informazioni dettagliate, consultare Assemblare i prerequisiti.

  8. Inserisci l'endpoint URI proxy. Il protocollo deve essere HTTPS. AWS KMS comunica sulla porta 443. Non specificare la porta nel valore dell'endpoint URI proxy.

    Se AWS KMS riconosce il servizio endpoint VPC specificato nel passaggio precedente, completa questo campo per te.

    Per la connettività dell'endpoint pubblico, inserisci un URI endpoint disponibile pubblicamente. Per la connettività dell'endpoint VPC, inserisci https:// seguito dal nome DNS privato del servizio endpoint VPC.

  9. Per inserire i valori relativi al prefisso del percorso URI proxy e le credenziali di autenticazione proxy, carica un file di configurazione proxy o inserisci i valori manualmente.

    • Se disponi di un file di configurazione proxy facoltativo che contiene i valori del percorso URI proxy e delle credenziali di autenticazione proxy, scegli Upload configuration file (Carica file di configurazione). Segui le istruzioni per caricare il file.

      Quando il file viene caricato, la console visualizza i valori del file in campi modificabili. Puoi modificare i valori in questo momento o modificarli dopo la creazione dell'archivio delle chiavi esterne.

      Per visualizzare il valore della chiave di accesso segreta, scegli Show secret access key (Mostra chiave di accesso segreta).

    • Se non hai a disposizione un file di configurazione proxy, puoi inserire manualmente i valori del percorso URI proxy e delle credenziali di autenticazione proxy.

      1. Se non disponi di un file di configurazione proxy, puoi inserire l'URI proxy manualmente. La console fornisce il valore/1 richiesto. kms/xks/v

        Se il percorso URI proxy comprende un prefisso facoltativo, ad esempio example-prefix in /example-prefix/kms/xks/v1, inseriscilo nel campo Proxy URI path prefix (Prefisso del percorso URI proxy). In caso contrario, lascia vuoto il campo.

      2. Se non disponi di un file di configurazione proxy, puoi inserire le credenziali di autenticazione proxy manualmente. Sono necessari sia l'ID chiave di accesso che la chiave di accesso segreta.

        • In Proxy credential: Access key ID (Credenziali proxy: ID chiave di accesso), inserisci l'ID chiave di accesso delle credenziali di autenticazione proxy. L'ID della chiave di accesso identifica la chiave di accesso segreta.

        • In Proxy credential: Secret access key (Credenziali proxy: chiave di accesso segreta), inserisci la chiave di accesso segreta delle credenziali di autenticazione proxy.

        Per visualizzare il valore della chiave di accesso segreta, scegli Show secret access key (Mostra chiave di accesso segreta).

        Questa procedura non imposta o modifica le credenziali di autenticazione stabilite sul proxy dell'archivio delle chiavi esterne, ma associa semplicemente tali valori all'archivio. Per informazioni sull'impostazione, la modifica e la rotazione delle credenziali di autenticazione proxy, consulta la documentazione del proxy dell'archivio delle chiavi esterne o del software di gestione delle chiavi.

        Se le credenziali di autenticazione proxy cambiano, modifica l'impostazione delle credenziali per l'archivio delle chiavi esterne.

  10. Scegli Create external key store (Crea archivio delle chiavi esterne).

Quando la procedura ha esito positivo, il nuovo archivio delle chiavi esterne viene visualizzato nell'elenco degli archivi delle chiavi esterne dell'account e della regione. Se ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta CreateKey errori per la chiave esterna.

Successivo: i nuovi archivi delle chiavi esterne non sono connessi automaticamente. Prima di poter creare AWS KMS keys nell'archivio chiavi esterno, è necessario connettere l'archivio chiavi esterno al relativo proxy dell'archivio chiavi esterno.

È possibile utilizzare l'CreateCustomKeyStoreoperazione per creare un nuovo archivio di chiavi esterno. Per assistenza nell'individuazione dei valori per i parametri richiesti, consulta la documentazione del proxy dell'archivio delle chiavi esterne o del software di gestione delle chiavi.

Suggerimento

Non puoi caricare un file di configurazione proxy quando utilizzi l'operazione CreateCustomKeyStore. Tuttavia, puoi utilizzare i valori presenti nel file di configurazione proxy per assicurarti che i valori dei parametri siano corretti.

Per creare un archivio delle chiavi esterne, l'operazione CreateCustomKeyStore richiede i valori di parametro seguenti.

  • CustomKeyStoreName: un nome descrittivo per l'archivio delle chiavi esterne univoco nell'account.

    Importante

    Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei CloudTrail log e in altri output.

  • CustomKeyStoreType: specifica EXTERNAL_KEY_STORE.

  • XksProxyConnectivity: specifica PUBLIC_ENDPOINT o VPC_ENDPOINT_SERVICE.

  • XksProxyAuthenticationCredential: specifica sia l'ID chiave di accesso che la chiave di accesso segreta.

  • XksProxyUriEndpoint— L'endpoint AWS KMS utilizzato per comunicare con il proxy di archiviazione delle chiavi esterno.

  • XksProxyUriPath— Il percorso all'interno del proxy verso il proxy APIs.

  • XksProxyVpcEndpointServiceName: obbligatorio solo quando il valore di XksProxyConnectivity è VPC_ENDPOINT_SERVICE.

Nota

Se utilizzate la AWS CLI versione 1.0, eseguite il comando seguente prima di specificare un parametro con un valore HTTP o HTTPS, ad esempio il XksProxyUriEndpoint parametro.

aws configure set cli_follow_urlparam false

In caso contrario, la AWS CLI versione 1.0 sostituisce il valore del parametro con il contenuto trovato in quell'indirizzo URI, causando il seguente errore:

Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404

Gli esempi seguenti utilizzano valori fittizi. Prima di eseguire il comando, sostituiscili con valori validi per l'archivio delle chiavi esterne.

Crea un archivio delle chiavi esterne con connettività dell'endpoint pubblico.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStorePublic \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity PUBLIC_ENDPOINT \
        --xks-proxy-uri-endpoint https://myproxy.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

Crea un archivio delle chiavi esterne con connettività del servizio endpoint VPC.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStoreVPC \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
        --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
        --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

Se l'operazione riesce, CreateCustomKeyStore restituisce l'ID store chiavi personalizzate, come illustrato nel seguente esempio di risposta.

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

Se l'operazione ha esito negativo, correggi l'errore indicato dall'eccezione e riprova. Per ulteriori informazioni, consulta Risoluzione dei problemi relativi all'archivio delle chiavi esterne.

Successivo: Per utilizzare l'archivio delle chiavi esterne, connettilo al relativo proxy dell'archivio delle chiavi esterne.