Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizza le indicazioni contenute in questa sezione per creare e configurare le AWS risorse e i componenti correlati necessari per un archivio di chiavi esterno che utilizza la connettività del servizio VPC endpoint. Le risorse elencate per questa opzione di connettività sono un supplemento alle risorse necessarie per tutti gli archivi delle chiavi esterne. Dopo aver creato e configurato le risorse necessarie, puoi creare l'archivio delle chiavi esterne.
Puoi localizzare il tuo proxy di archiviazione delle chiavi esterno in Amazon VPC o localizzare il proxy all'esterno AWS e utilizzare il servizio VPC endpoint per la comunicazione.
Prima di iniziare, verifica che sia necessario un archivio delle chiavi esterne. La maggior parte dei clienti può utilizzare KMS chiavi supportate da materiale AWS KMS chiave.
Nota
Alcuni degli elementi necessari per la connettività del servizio VPC endpoint potrebbero essere inclusi nel gestore delle chiavi esterno. Inoltre, il software potrebbe avere requisiti di configurazione aggiuntivi. Prima di creare e configurare le AWS risorse in questa sezione, consultate la documentazione del proxy e del gestore delle chiavi.
Argomenti
- Requisiti per la VPC connettività dei servizi endpoint
- Passaggio 1: crea un Amazon VPC e delle sottoreti
- Fase 2: Creare un gruppo target
- Fase 3: Creare un sistema di bilanciamento del carico di rete
- Fase 4: Creare un servizio endpoint VPC
- Passaggio 5: Verifica il tuo DNS nome di dominio privato
- Passaggio 6: AWS KMS Autorizza la connessione al servizio endpoint VPC
Requisiti per la VPC connettività dei servizi endpoint
Se si sceglie la connettività del servizio VPC endpoint per l'archivio di chiavi esterno, sono necessarie le seguenti risorse.
Per ridurre al minimo la latenza di rete, create i AWS componenti nel supporto Regione AWS più vicino al gestore di chiavi esterno. Se possibile, scegli una regione con un tempo di andata e ritorno della rete (RTT) di 35 millisecondi o meno.
-
Un Amazon VPC collegato al tuo gestore di chiavi esterno. Deve avere almeno due sottoreti private in due zone di disponibilità diverse.
Puoi utilizzare un Amazon esistente VPC per il tuo archivio di chiavi esterno, a condizione che soddisfi i requisiti per l'utilizzo con un archivio di chiavi esterno. Più archivi di chiavi esterni possono condividere un AmazonVPC, ma ogni archivio di chiavi esterno deve avere il proprio servizio di VPC endpoint e il proprio DNS nome privato.
-
Un servizio di VPC endpoint Amazon basato su un sistema AWS PrivateLink di bilanciamento del carico di rete e un gruppo target.
Il servizio endpoint non può richiedere l'accettazione. Inoltre, devi aggiungere AWS KMS come principale consentito. Ciò consente di AWS KMS creare endpoint di interfaccia in modo che possa comunicare con il proxy di archiviazione delle chiavi esterno.
-
Un DNS nome privato per il servizio VPC endpoint che è unico nel suo. Regione AWS
Il DNS nome privato deve essere un sottodominio di un dominio pubblico di livello superiore. Ad esempio, se il DNS nome privato è
myproxy-private.xks.example.com
, deve essere un sottodominio di un dominio pubblico come o.xks.example.com
example.com
È necessario verificare la proprietà del DNS dominio per il DNS nome privato.
-
Un TLS certificato rilasciato da un'autorità di certificazione pubblica supportata
per il proxy di archiviazione delle chiavi esterno. Il nome comune dell'oggetto (CN) sul TLS certificato deve corrispondere al DNS nome privato. Ad esempio, se il DNS nome privato è
myproxy-private.xks.example.com
, il CN sul TLS certificato deve esseremyproxy-private.xks.example.com
o*.xks.example.com
.
Per informazioni su tutti i requisiti di un archivio delle chiavi esterne, consulta Assemblare i prerequisiti.
Passaggio 1: crea un Amazon VPC e delle sottoreti
VPCla connettività dei servizi endpoint richiede un Amazon VPC connesso al tuo gestore di chiavi esterno con almeno due sottoreti private. Puoi creare un Amazon VPC o utilizzare un Amazon esistente VPC che soddisfi i requisiti per gli archivi di chiavi esterni. Per assistenza nella creazione di un nuovo AmazonVPC, consulta Create a VPC nella Amazon Virtual Private Cloud User Guide.
Requisiti per il tuo Amazon VPC
Per utilizzare archivi di chiavi esterni che utilizzano la connettività del servizio VPC endpoint, Amazon VPC deve avere le seguenti proprietà:
-
Deve trovarsi nella stessa Account AWS regione supportata dell'archivio di chiavi esterno.
-
Richiede almeno due sottoreti private, ognuna in una zona di disponibilità diversa.
-
L'intervallo di indirizzi IP privati del tuo Amazon non VPC deve sovrapporsi all'intervallo di indirizzi IP privati del data center che ospita il tuo gestore di chiavi esterno.
-
Tutti i componenti devono essere utilizzatiIPv4.
Hai molte opzioni per connettere Amazon VPC al tuo proxy di archiviazione chiavi esterno. Scegli un'opzione che soddisfi le tue esigenze di prestazioni e sicurezza. Per un elenco, vedi Connect your VPC ad altre reti e opzioni di Network-to-Amazon VPC connettività. Per ulteriori dettagli, consulta AWS Direct Connect e la Guida per l'utente di AWS Site-to-Site VPN.
Creare un Amazon VPC per il tuo archivio di chiavi esterno
Utilizza le seguenti istruzioni per creare Amazon VPC per il tuo archivio di chiavi esterno. Un Amazon VPC è necessario solo se scegli l'opzione di connettività del servizio VPC endpoint. Puoi utilizzare un Amazon esistente VPC che soddisfi i requisiti per un archivio di chiavi esterno.
Segui le istruzioni nell'argomento Creare un accountVPC, sottoreti e altre VPC risorse utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.
Campo | Valore |
---|---|
IPv4CIDRbloccare | Inserisci gli indirizzi IP del tuoVPC. L'intervallo di indirizzi IP privati del tuo Amazon non VPC deve sovrapporsi all'intervallo di indirizzi IP privati del data center che ospita il tuo gestore di chiavi esterno. |
Numero di zone di disponibilità () AZs | 2 o più |
Numero di sottoreti pubbliche |
Non è necessario indicare alcun valore (0) |
Numero di sottoreti private | Una per ogni zona di disponibilità |
NATgateway | Non è necessario indicare alcun valore. |
VPCpunti finali | Non è necessario indicare alcun valore. |
Abilita DNS i nomi host | Sì |
Abilita la risoluzione DNS | Sì |
Assicurati di testare la tua VPC comunicazione. Ad esempio, se il tuo proxy di archiviazione chiavi esterno non si trova in AmazonVPC, crea un'EC2istanza Amazon in AmazonVPC, verifica che Amazon sia in VPC grado di comunicare con il tuo proxy di archiviazione chiavi esterno.
Collegamento VPC di al gestore di chiavi esterno
Connettilo VPC al data center che ospita il tuo gestore di chiavi esterno utilizzando una qualsiasi delle opzioni di connettività di rete VPC supportate da Amazon. Assicurati che l'EC2istanza Amazon presente in VPC (o il proxy dell'archivio chiavi esterno, se presente inVPC) possa comunicare con il data center e il gestore delle chiavi esterno.
Fase 2: Creare un gruppo target
Prima di creare il servizio VPC endpoint richiesto, create i componenti richiesti, un sistema di bilanciamento del carico di rete (NLB) e un gruppo target. Il network load balancer (NLB) distribuisce le richieste tra più destinazioni integre, ognuna delle quali può soddisfare la richiesta. In questo passaggio, crea un gruppo di destinazione con almeno due host per il proxy dell'archivio delle chiavi esterne e registra gli indirizzi IP con il gruppo di destinazione.
Segui le istruzioni nell'argomento Configurazione di un gruppo di destinazione utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.
Campo | Valore |
---|---|
Target type (Tipo di destinazione) | Indirizzi IP |
Protocollo | TCP |
Porta |
443 |
Tipo di indirizzo IP | IPv4 |
VPC | Scegliete VPC dove creare il servizio VPC endpoint per il vostro archivio di chiavi esterno. |
Protocollo e percorso di controllo dell'integrità | Il protocollo e il percorso di controllo dell'integrità saranno diversi a seconda della configurazione del proxy dell'archivio delle chiavi esterne. Consulta la documentazione del gestore delle chiavi esterne o del proxy dell'archivio delle chiavi esterne. Per informazioni generali sulla configurazione dei controlli dell'integrità per i gruppi di destinazione, consulta Controlli dell'integrità per i gruppi di destinazione nella Guida per l'utente di Elastic Load Balancing per Network Load Balancer. |
Rete | Altro indirizzo IP privato |
IPv4indirizzo | Gli indirizzi privati del proxy dell'archivio delle chiavi esterne |
Porte | 443 |
Fase 3: Creare un sistema di bilanciamento del carico di rete
Il Network Load Balancer distribuisce il traffico di rete, comprese le richieste provenienti da AWS KMS al proxy dell'archivio delle chiavi esterne, fino alle destinazioni configurate.
Segui le istruzioni nell'argomento Configurare un sistema di bilanciamento del carico e un ascoltatore per configurare e aggiungere un ascoltatore e creare un sistema di bilanciamento del carico utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.
Campo | Valore |
---|---|
Schema | Interno |
Tipo di indirizzo IP | IPv4 |
Mappatura della rete |
Scegli VPC dove creare il servizio VPC endpoint per il tuo archivio di chiavi esterno. |
Mapping | Scegli entrambe le zone di disponibilità (almeno due) configurate per le VPC sottoreti. Verifica i nomi delle sottoreti e l'indirizzo IP privato. |
Protocollo | TCP |
Porta | 443 |
Azione predefinita: Inoltra a | Scegli il gruppo di destinazione per il Network Load Balancer. |
Fase 4: Creare un servizio endpoint VPC
In genere, la creazione di un endpoint è destinata a un servizio. Tuttavia, quando crei un servizio VPC endpoint, ne sei il fornitore e AWS KMS crei un endpoint per il tuo servizio. Per un archivio di chiavi esterno, crea un servizio VPC endpoint con il sistema di bilanciamento del carico di rete creato nel passaggio precedente. Il servizio VPC endpoint deve trovarsi nella stessa Account AWS regione supportata dell'archivio di chiavi esterno.
Più archivi di chiavi esterni possono condividere un AmazonVPC, ma ogni archivio di chiavi esterno deve avere il proprio servizio di VPC endpoint e il proprio DNS nome privato.
Segui le istruzioni nell'argomento Creare un servizio endpoint per creare il tuo servizio VPC endpoint con i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.
Campo | Valore |
---|---|
Nuovo tipo di load balancer | Rete |
Sistemi di bilanciamento del carico disponibili | Scegli il Network Load Balancer creato nella fase precedente. Se il nuovo sistema di bilanciamento del carico non compare nell'elenco, verifica che il suo stato sia attivo. Potrebbero essere necessari alcuni minuti prima che lo stato del sistema di bilanciamento del carico passi dal provisioning ad attivo. |
Accettazione richiesta | Falso. Deseleziona la casella di controllo. Non richiedono l'accettazione. AWS KMS non può connettersi al servizio VPC endpoint senza un'accettazione manuale. Se è richiesta l'accettazione, i tentativi di creare l'archivio delle chiavi esterne falliscono con un'eccezione |
Abilita il nome privato DNS | Associa un DNS nome privato al servizio |
DNSNome privato | Inserisci un DNS nome privato che sia unico nel suo Regione AWS. Il DNS nome privato deve essere un sottodominio di un dominio pubblico di livello superiore. Ad esempio, se il DNS nome privato è Questo DNS nome privato deve corrispondere al nome comune dell'oggetto (CN) nel TLS certificato configurato sul proxy di archiviazione delle chiavi esterno. Ad esempio, se il DNS nome privato è Se il certificato e il DNS nome privato non corrispondono, i tentativi di connettere un archivio di chiavi esterno al relativo proxy di archiviazione chiavi esterno hanno esito negativo e viene visualizzato un codice di errore di connessione di |
Tipi di indirizzo IP supportati | IPv4 |
Passaggio 5: Verifica il tuo DNS nome di dominio privato
Quando crei il tuo servizio VPC endpoint, lo stato di verifica del dominio èpendingVerification
. Prima di utilizzare il servizio VPC endpoint per creare un archivio di chiavi esterno, questo stato deve essere. verified
Per verificare di essere il proprietario del dominio associato al proprio DNS nome privato, è necessario creare un TXT record in un DNS server pubblico.
Ad esempio, se il DNS nome privato del servizio VPC endpoint èmyproxy-private.xks.example.com
, devi creare un TXT record in un dominio pubblico, ad esempio xks.example.com
oexample.com
, a seconda di quale dei due sia pubblico. AWS PrivateLink cerca il TXT record prima su xks.example.com
e poi su. example.com
Suggerimento
Dopo aver aggiunto un TXT record, potrebbero essere necessari alcuni minuti prima che il valore dello stato di verifica del dominio passi da pendingVerification
averify
.
Per iniziare, individua lo stato di verifica del dominio utilizzando uno dei metodi seguenti. I valori validi sono verified
, pendingVerification
e failed
.
-
Nella VPCconsole Amazon
, scegli Endpoint services e scegli il tuo endpoint service. Nel riquadro dei dettagli, vedi Domain verification status (Stato di verifica del dominio). -
Usa l'operazione. DescribeVpcEndpointServiceConfigurations Il valore
State
si trova nel campoServiceConfigurations.PrivateDnsNameConfiguration.State
.
Se lo stato di verifica non lo èverified
, segui le istruzioni nell'argomento Verifica della proprietà del dominio per aggiungere un TXT record al DNS server del tuo dominio e verificare che il TXT record sia pubblicato. Quindi controlla nuovamente lo stato della verifica.
Non è necessario creare un record A per il nome di DNS dominio privato. Quando AWS KMS crea un endpoint di interfaccia verso il servizio VPC endpoint, crea AWS PrivateLink automaticamente una zona ospitata con il record A richiesto per il nome di dominio privato nel. AWS KMS VPC Per gli archivi di chiavi esterni con connettività al servizio VPC endpoint, ciò accade quando si collega l'archivio di chiavi esterno al relativo proxy di archiviazione chiavi esterno.
Passaggio 6: AWS KMS Autorizza la connessione al servizio endpoint VPC
È necessario aggiungerlo AWS KMS all'elenco dei principali indirizzi consentiti per il VPC servizio endpoint. Ciò consente di AWS KMS creare endpoint di interfaccia per il VPC servizio endpoint. Se non AWS KMS è un'opzione principale consentita, i tentativi di creare un archivio di chiavi esterno falliranno con un'XksProxyVpcEndpointServiceNotFoundException
eccezione.
Segui le istruzioni nell'argomento Gestione delle autorizzazioni della Guida di AWS PrivateLink . Utilizza il seguente valore obbligatorio.
Campo | Valore |
---|---|
ARN | cks.kms. Ad esempio, |
Successivo: Creare un archivio di chiavi esterno