Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Pianificazione di un archivio delle chiavi esterne
Prima di creare l'archivio delle chiavi esterne, scegli l'opzione di connettività che determina il modo in cui AWS KMS comunica con i componenti dell'archivio. L'opzione di connettività scelta determina il resto del processo di pianificazione.
Ulteriori informazioni:
-
Rivedi il processo di creazione di un archivio delle chiavi esterne, incluso l'assemblaggio dei prerequisiti. Ti aiuterà a verificare di disporre di tutti i componenti necessari per la creazione dell'archivio delle chiavi esterne.
-
Scopri come controllare l'accesso all'archivio delle chiavi esterne, comprese le autorizzazioni richieste dagli amministratori e dagli utenti dell'archivio.
-
Scopri le CloudWatch metriche e le dimensioni di Amazon registrate per gli AWS KMS archivi di chiavi esterni. Ti consigliamo di creare allarmi per monitorare l'archivio delle chiavi esterne, in modo da poter rilevare fin dal principio eventuali segnali relativi a problemi operativi e prestazionali.
Scelta di un'opzione di connettività proxy
Se stai creando un archivio delle chiavi esterne, devi innanzitutto determinare in che modo AWS KMS comunica con il proxy dell'archivio delle chiavi esterne. Questa scelta determinerà i componenti sono necessari e la modalità di configurazione. AWS KMS supporta le seguenti opzioni di connettività. Scegli l'opzione che soddisfa gli obiettivi di prestazioni e sicurezza.
Prima di iniziare, verifica che sia necessario un archivio delle chiavi esterne. La maggior parte dei clienti può utilizzare le chiavi KMS supportate da un materiale della chiave di AWS KMS.
Nota
Se il proxy dell'archivio delle chiavi esterne è integrato nel gestore delle chiavi esterne, la connettività potrebbe essere predeterminata. Per informazioni, consulta la documentazione del gestore delle chiavi esterne o del proxy dell'archivio delle chiavi esterne.
Puoi modificare l'opzione di connettività proxy dell'archivio delle chiavi esterne anche su un archivio delle chiavi esterne operativo. Tuttavia, il processo deve essere pianificato ed eseguito con cura per ridurre al minimo le interruzioni, evitare errori e garantire l'accesso continuo alle chiavi crittografiche che crittografano i dati.
Connettività dell'endpoint pubblico
AWS KMS si connette al proxy dell'archivio delle chiavi esterne (proxy XKS) su Internet utilizzando un endpoint pubblico.
Questa opzione di connettività è molto semplice da configurare e gestire e si allinea bene con alcuni modelli di gestione delle chiavi. Tuttavia, potrebbe non soddisfare i requisiti di sicurezza di alcune organizzazioni.
Requisiti
Se scegli la connettività all'endpoint pubblico, è necessario quanto segue.
-
Il proxy dell'archivio delle chiavi esterne deve essere raggiungibile da un endpoint indirizzabile pubblicamente.
-
Puoi utilizzare lo stesso endpoint pubblico per più archivi delle chiavi esterne, a condizione che utilizzino valori diversi per il percorso URI proxy.
-
Non puoi utilizzare lo stesso endpoint per un archivio delle chiavi esterne con connettività all'endpoint pubblico e qualsiasi archivio delle chiavi esterne con connettività del servizio endpoint VPC nella stessa Regione AWS, anche se gli archivi delle chiavi si trovano in diversi Account AWS.
-
Devi ottenere un certificato TLS emesso da un'autorità di certificazione pubblica supportata per gli archivi delle chiavi esterne. Per un elenco, consulta Autorità di certificazione attendibili
. Il nome comune del soggetto (CN) sul certificato TLS deve corrispondere al nome di dominio nell'endpoint URI proxy del proxy dell'archivio delle chiavi esterne. Ad esempio, se l'endpoint pubblico è
https://myproxy.xks.example.comil TLS, il CN sul certificato TLS deve esseremyproxy.xks.example.como*.xks.example.com. Assicurati che tutti i firewall tra AWS KMS e il proxy dell'archivio delle chiavi esterne consentano il traffico da e verso la porta 443 del proxy. AWS KMS comunica sulla porta 443. Questo valore non è configurabile.
Per informazioni su tutti i requisiti di un archivio delle chiavi esterne, consulta Assemblare i prerequisiti.
Connettività del servizio endpoint VPC
AWS KMS si connette al proxy dell'archivio delle chiavi esterne (proxy XKS) creando un endpoint di interfaccia a un servizio endpoint Amazon VPC creato e configurato dall'utente. Sei responsabile della creazione del servizio endpoint VPC e della connessione del VPC al gestore delle chiavi esterne.
Il servizio endpoint può utilizzare qualsiasi opzione da rete ad Amazon VPC supportata per le comunicazioni, tra cui AWS Direct Connect.
Questa opzione di connettività è più complessa da configurare e gestire. Tuttavia, l'utilizzo di AWS PrivateLink consente ad AWS KMS di connettersi privatamente ad Amazon VPC e al proxy dell'archivio delle chiavi esterne senza utilizzare la rete Internet pubblica.
Puoi posizionare il proxy dell'archivio delle chiavi esterne in Amazon VPC.
Oppure, posiziona il proxy dell'archivio delle chiavi esterne al di fuori di AWS e utilizza il servizio endpoint Amazon VPC esclusivamente per le comunicazioni sicure con AWS KMS.
