Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Configura la VPC connettività del servizio endpoint

Modalità Focus
Configura la VPC connettività del servizio endpoint - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizza le indicazioni contenute in questa sezione per creare e configurare le AWS risorse e i componenti correlati necessari per un archivio di chiavi esterno che utilizza la connettività del servizio VPC endpoint. Le risorse elencate per questa opzione di connettività sono un supplemento alle risorse necessarie per tutti gli archivi delle chiavi esterne. Dopo aver creato e configurato le risorse necessarie, puoi creare l'archivio delle chiavi esterne.

Puoi localizzare il tuo proxy di archiviazione delle chiavi esterno in Amazon VPC o localizzare il proxy all'esterno AWS e utilizzare il servizio VPC endpoint per la comunicazione.

Prima di iniziare, verifica che sia necessario un archivio delle chiavi esterne. La maggior parte dei clienti può utilizzare KMS chiavi supportate da materiale AWS KMS chiave.

Nota

Alcuni degli elementi necessari per la connettività del servizio VPC endpoint potrebbero essere inclusi nel gestore delle chiavi esterno. Inoltre, il software potrebbe avere requisiti di configurazione aggiuntivi. Prima di creare e configurare le AWS risorse in questa sezione, consultate la documentazione del proxy e del gestore delle chiavi.

Requisiti per la VPC connettività dei servizi endpoint

Se si sceglie la connettività del servizio VPC endpoint per l'archivio di chiavi esterno, sono necessarie le seguenti risorse.

Per ridurre al minimo la latenza di rete, create i AWS componenti nel supporto Regione AWS più vicino al gestore di chiavi esterno. Se possibile, scegli una regione con un tempo di andata e ritorno della rete (RTT) di 35 millisecondi o meno.

  • Un Amazon VPC collegato al tuo gestore di chiavi esterno. Deve avere almeno due sottoreti private in due zone di disponibilità diverse.

    Puoi utilizzare un Amazon esistente VPC per il tuo archivio di chiavi esterno, a condizione che soddisfi i requisiti per l'utilizzo con un archivio di chiavi esterno. Più archivi di chiavi esterni possono condividere un AmazonVPC, ma ogni archivio di chiavi esterno deve avere il proprio servizio di VPC endpoint e il proprio DNS nome privato.

  • Un servizio di VPC endpoint Amazon basato su un sistema AWS PrivateLink di bilanciamento del carico di rete e un gruppo target.

    Il servizio endpoint non può richiedere l'accettazione. Inoltre, devi aggiungere AWS KMS come principale consentito. Ciò consente di AWS KMS creare endpoint di interfaccia in modo che possa comunicare con il proxy di archiviazione delle chiavi esterno.

  • Un DNS nome privato per il servizio VPC endpoint che è unico nel suo. Regione AWS

    Il DNS nome privato deve essere un sottodominio di un dominio pubblico di livello superiore. Ad esempio, se il DNS nome privato èmyproxy-private.xks.example.com, deve essere un sottodominio di un dominio pubblico come o. xks.example.com example.com

    È necessario verificare la proprietà del DNS dominio per il DNS nome privato.

  • Un TLS certificato rilasciato da un'autorità di certificazione pubblica supportata per il proxy di archiviazione delle chiavi esterno.

    Il nome comune dell'oggetto (CN) sul TLS certificato deve corrispondere al DNS nome privato. Ad esempio, se il DNS nome privato èmyproxy-private.xks.example.com, il CN sul TLS certificato deve essere myproxy-private.xks.example.com o*.xks.example.com.

Per informazioni su tutti i requisiti di un archivio delle chiavi esterne, consulta Assemblare i prerequisiti.

Passaggio 1: crea un Amazon VPC e delle sottoreti

VPCla connettività dei servizi endpoint richiede un Amazon VPC connesso al tuo gestore di chiavi esterno con almeno due sottoreti private. Puoi creare un Amazon VPC o utilizzare un Amazon esistente VPC che soddisfi i requisiti per gli archivi di chiavi esterni. Per assistenza nella creazione di un nuovo AmazonVPC, consulta Create a VPC nella Amazon Virtual Private Cloud User Guide.

Requisiti per il tuo Amazon VPC

Per utilizzare archivi di chiavi esterni che utilizzano la connettività del servizio VPC endpoint, Amazon VPC deve avere le seguenti proprietà:

  • Deve trovarsi nella stessa Account AWS regione supportata dell'archivio di chiavi esterno.

  • Richiede almeno due sottoreti private, ognuna in una zona di disponibilità diversa.

  • L'intervallo di indirizzi IP privati del tuo Amazon non VPC deve sovrapporsi all'intervallo di indirizzi IP privati del data center che ospita il tuo gestore di chiavi esterno.

  • Tutti i componenti devono essere utilizzatiIPv4.

Hai molte opzioni per connettere Amazon VPC al tuo proxy di archiviazione chiavi esterno. Scegli un'opzione che soddisfi le tue esigenze di prestazioni e sicurezza. Per un elenco, vedi Connect your VPC ad altre reti e opzioni di Network-to-Amazon VPC connettività. Per ulteriori dettagli, consulta AWS Direct Connect e la Guida per l'utente di AWS Site-to-Site VPN.

Creare un Amazon VPC per il tuo archivio di chiavi esterno

Utilizza le seguenti istruzioni per creare Amazon VPC per il tuo archivio di chiavi esterno. Un Amazon VPC è necessario solo se scegli l'opzione di connettività del servizio VPC endpoint. Puoi utilizzare un Amazon esistente VPC che soddisfi i requisiti per un archivio di chiavi esterno.

Segui le istruzioni nell'argomento Creare un accountVPC, sottoreti e altre VPC risorse utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.

Campo Valore
IPv4CIDRbloccare Inserisci gli indirizzi IP del tuoVPC. L'intervallo di indirizzi IP privati del tuo Amazon non VPC deve sovrapporsi all'intervallo di indirizzi IP privati del data center che ospita il tuo gestore di chiavi esterno.
Numero di zone di disponibilità () AZs 2 o più
Numero di sottoreti pubbliche

Non è necessario indicare alcun valore (0)

Numero di sottoreti private Una per ogni zona di disponibilità
NATgateway Non è necessario indicare alcun valore.
VPCpunti finali Non è necessario indicare alcun valore.
Abilita DNS i nomi host
Abilita la risoluzione DNS

Assicurati di testare la tua VPC comunicazione. Ad esempio, se il tuo proxy di archiviazione chiavi esterno non si trova in AmazonVPC, crea un'EC2istanza Amazon in AmazonVPC, verifica che Amazon sia in VPC grado di comunicare con il tuo proxy di archiviazione chiavi esterno.

Collegamento VPC di al gestore di chiavi esterno

Connettilo VPC al data center che ospita il tuo gestore di chiavi esterno utilizzando una qualsiasi delle opzioni di connettività di rete VPC supportate da Amazon. Assicurati che l'EC2istanza Amazon presente in VPC (o il proxy dell'archivio chiavi esterno, se presente inVPC) possa comunicare con il data center e il gestore delle chiavi esterno.

Fase 2: Creare un gruppo target

Prima di creare il servizio VPC endpoint richiesto, create i componenti richiesti, un sistema di bilanciamento del carico di rete (NLB) e un gruppo target. Il network load balancer (NLB) distribuisce le richieste tra più destinazioni integre, ognuna delle quali può soddisfare la richiesta. In questo passaggio, crea un gruppo di destinazione con almeno due host per il proxy dell'archivio delle chiavi esterne e registra gli indirizzi IP con il gruppo di destinazione.

Segui le istruzioni nell'argomento Configurazione di un gruppo di destinazione utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.

Campo Valore
Target type (Tipo di destinazione) Indirizzi IP
Protocollo TCP
Porta

443

Tipo di indirizzo IP IPv4
VPC Scegliete VPC dove creare il servizio VPC endpoint per il vostro archivio di chiavi esterno.
Protocollo e percorso di controllo dell'integrità

Il protocollo e il percorso di controllo dell'integrità saranno diversi a seconda della configurazione del proxy dell'archivio delle chiavi esterne. Consulta la documentazione del gestore delle chiavi esterne o del proxy dell'archivio delle chiavi esterne.

Per informazioni generali sulla configurazione dei controlli dell'integrità per i gruppi di destinazione, consulta Controlli dell'integrità per i gruppi di destinazione nella Guida per l'utente di Elastic Load Balancing per Network Load Balancer.
Rete Altro indirizzo IP privato
IPv4indirizzo Gli indirizzi privati del proxy dell'archivio delle chiavi esterne
Porte 443

Fase 3: Creare un sistema di bilanciamento del carico di rete

Il Network Load Balancer distribuisce il traffico di rete, comprese le richieste provenienti da AWS KMS al proxy dell'archivio delle chiavi esterne, fino alle destinazioni configurate.

Segui le istruzioni nell'argomento Configurare un sistema di bilanciamento del carico e un ascoltatore per configurare e aggiungere un ascoltatore e creare un sistema di bilanciamento del carico utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.

Campo Valore
Schema Interno
Tipo di indirizzo IP IPv4
Mappatura della rete

Scegli VPC dove creare il servizio VPC endpoint per il tuo archivio di chiavi esterno.

Mapping Scegli entrambe le zone di disponibilità (almeno due) configurate per le VPC sottoreti. Verifica i nomi delle sottoreti e l'indirizzo IP privato.
Protocollo TCP
Porta 443
Azione predefinita: Inoltra a Scegli il gruppo di destinazione per il Network Load Balancer.

Fase 4: Creare un servizio endpoint VPC

In genere, la creazione di un endpoint è destinata a un servizio. Tuttavia, quando crei un servizio VPC endpoint, ne sei il fornitore e AWS KMS crei un endpoint per il tuo servizio. Per un archivio di chiavi esterno, crea un servizio VPC endpoint con il sistema di bilanciamento del carico di rete creato nel passaggio precedente. Il servizio VPC endpoint deve trovarsi nella stessa Account AWS regione supportata dell'archivio di chiavi esterno.

Più archivi di chiavi esterni possono condividere un AmazonVPC, ma ogni archivio di chiavi esterno deve avere il proprio servizio di VPC endpoint e il proprio DNS nome privato.

Segui le istruzioni nell'argomento Creare un servizio endpoint per creare il tuo servizio VPC endpoint con i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.

Campo Valore
Nuovo tipo di load balancer Rete
Sistemi di bilanciamento del carico disponibili Scegli il Network Load Balancer creato nella fase precedente.

Se il nuovo sistema di bilanciamento del carico non compare nell'elenco, verifica che il suo stato sia attivo. Potrebbero essere necessari alcuni minuti prima che lo stato del sistema di bilanciamento del carico passi dal provisioning ad attivo.

Accettazione richiesta Falso. Deseleziona la casella di controllo.

Non richiedono l'accettazione. AWS KMS non può connettersi al servizio VPC endpoint senza un'accettazione manuale. Se è richiesta l'accettazione, i tentativi di creare l'archivio delle chiavi esterne falliscono con un'eccezione XksProxyInvalidConfigurationException.

Abilita il nome privato DNS Associa un DNS nome privato al servizio
DNSNome privato Inserisci un DNS nome privato che sia unico nel suo Regione AWS.

Il DNS nome privato deve essere un sottodominio di un dominio pubblico di livello superiore. Ad esempio, se il DNS nome privato èmyproxy-private.xks.example.com, deve essere un sottodominio di un dominio pubblico come xks.example.com o. example.com

Questo DNS nome privato deve corrispondere al nome comune dell'oggetto (CN) nel TLS certificato configurato sul proxy di archiviazione delle chiavi esterno. Ad esempio, se il DNS nome privato èmyproxy-private.xks.example.com, il CN sul TLS certificato deve essere myproxy-private.xks.example.com o*.xks.example.com.

Se il certificato e il DNS nome privato non corrispondono, i tentativi di connettere un archivio di chiavi esterno al relativo proxy di archiviazione chiavi esterno hanno esito negativo e viene visualizzato un codice di errore di connessione diXKS_PROXY_INVALID_TLS_CONFIGURATION. Per informazioni dettagliate, consultare Errori di configurazione generale.

Tipi di indirizzo IP supportati IPv4

Passaggio 5: Verifica il tuo DNS nome di dominio privato

Quando crei il tuo servizio VPC endpoint, lo stato di verifica del dominio èpendingVerification. Prima di utilizzare il servizio VPC endpoint per creare un archivio di chiavi esterno, questo stato deve essere. verified Per verificare di essere il proprietario del dominio associato al proprio DNS nome privato, è necessario creare un TXT record in un DNS server pubblico.

Ad esempio, se il DNS nome privato del servizio VPC endpoint èmyproxy-private.xks.example.com, devi creare un TXT record in un dominio pubblico, ad esempio xks.example.com oexample.com, a seconda di quale dei due sia pubblico. AWS PrivateLink cerca il TXT record prima su xks.example.com e poi su. example.com

Suggerimento

Dopo aver aggiunto un TXT record, potrebbero essere necessari alcuni minuti prima che il valore dello stato di verifica del dominio passi da pendingVerification averify.

Per iniziare, individua lo stato di verifica del dominio utilizzando uno dei metodi seguenti. I valori validi sono verified, pendingVerification e failed.

  • Nella VPCconsole Amazon, scegli Endpoint services e scegli il tuo endpoint service. Nel riquadro dei dettagli, vedi Domain verification status (Stato di verifica del dominio).

  • Usa l'operazione. DescribeVpcEndpointServiceConfigurations Il valore State si trova nel campo ServiceConfigurations.PrivateDnsNameConfiguration.State.

Se lo stato di verifica non lo èverified, segui le istruzioni nell'argomento Verifica della proprietà del dominio per aggiungere un TXT record al DNS server del tuo dominio e verificare che il TXT record sia pubblicato. Quindi controlla nuovamente lo stato della verifica.

Non è necessario creare un record A per il nome di DNS dominio privato. Quando AWS KMS crea un endpoint di interfaccia verso il servizio VPC endpoint, crea AWS PrivateLink automaticamente una zona ospitata con il record A richiesto per il nome di dominio privato nel. AWS KMS VPC Per gli archivi di chiavi esterni con connettività al servizio VPC endpoint, ciò accade quando si collega l'archivio di chiavi esterno al relativo proxy di archiviazione chiavi esterno.

Passaggio 6: AWS KMS Autorizza la connessione al servizio endpoint VPC

È necessario aggiungerlo AWS KMS all'elenco dei principali indirizzi consentiti per il VPC servizio endpoint. Ciò consente di AWS KMS creare endpoint di interfaccia per il VPC servizio endpoint. Se non AWS KMS è un'opzione principale consentita, i tentativi di creare un archivio di chiavi esterno falliranno con un'XksProxyVpcEndpointServiceNotFoundExceptioneccezione.

Segui le istruzioni nell'argomento Gestione delle autorizzazioni della Guida di AWS PrivateLink . Utilizza il seguente valore obbligatorio.

Campo Valore
ARN cks.kms.<region>.amazonaws.com

Ad esempio, cks.kms.us-east-1.amazonaws.com.

Successivo: Creare un archivio di chiavi esterno

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.