Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione della connettività del servizio endpoint VPC
Utilizza le indicazioni in questa sezione per creare e configurare AWS le risorse e i componenti correlati necessari per un archivio di chiavi esterno che utilizza la connettività del servizio [endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Le risorse elencate per questa opzione di connettività sono un supplemento alle [risorse necessarie per tutti gli archivi delle chiavi esterne](create-xks-keystore.md#xks-requirements). Dopo aver creato e configurato le risorse necessarie, puoi [creare l'archivio delle chiavi esterne](create-xks-keystore.md).
Puoi localizzare il tuo proxy di archiviazione chiavi esterno nel tuo Amazon VPC o localizzare il proxy all'esterno AWS e utilizzare il servizio di endpoint VPC per la comunicazione.
Prima di iniziare, [verifica che sia necessario un archivio delle chiavi esterne](keystore-external.md#do-i-need-xks). La maggior parte dei clienti può utilizzare chiavi KMS supportate da materiale chiave. AWS KMS
**Nota**
Alcuni degli elementi necessari per la connettività del servizio endpoint VPC potrebbero essere inclusi nel gestore delle chiavi esterne. Inoltre, il software potrebbe avere requisiti di configurazione aggiuntivi. Prima di creare e configurare le AWS risorse in questa sezione, consulta la documentazione del proxy e del gestore delle chiavi.
**Topics**
+ [Requisiti per la connettività del servizio endpoint VPC](#xks-vpce-service-requirements)
+ [Fase 1: creazione di un Amazon VPC e delle sottoreti](#xks-create-vpc)
+ [Fase 2: Creare un gruppo target](#xks-target-group)
+ [Fase 3: Creare un sistema di bilanciamento del carico di rete](#xks-nlb)
+ [Fase 4: Creare un servizio endpoint VPC](#xks-vpc-svc)
+ [Fase 5: Verifica il tuo nome di dominio DNS privato](#xks-private-dns)
+ [Fase 6: Autorizzazione AWS KMS alla connessione al servizio endpoint VPC](#xks-vpc-authorize-kms)
## Requisiti per la connettività del servizio endpoint VPC
Se scegli la connettività del servizio endpoint VPC per l'archivio delle chiavi esterne, sono necessarie le seguenti risorse.
+ Un Amazon VPC collegato al gestore delle chiavi esterne. Deve avere almeno due [sottoreti](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) private in due zone di disponibilità diverse.
Puoi utilizzare un Amazon VPC esistente, a condizione che [soddisfi i requisiti](#xks-vpc-requirements) per l'utilizzo con un archivio delle chiavi esterne. Più archivi delle chiavi esterne possono condividere un Amazon VPC, ma ogni archivio deve avere il proprio servizio endpoint VPC e il proprio nome DNS privato.
+ Un [servizio endpoint Amazon VPC basato su un AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html) con un [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) e un [gruppo di destinazione](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html).
Il servizio endpoint non può richiedere l'accettazione. Inoltre, devi aggiungere AWS KMS come principale consentito. Ciò consente di AWS KMS creare endpoint di interfaccia in modo che possa comunicare con il proxy di archiviazione delle chiavi esterno.
+ Un nome DNS privato per il servizio endpoint VPC univoco nella Regione AWS.
Il nome DNS privato deve essere un sottodominio di un dominio pubblico di livello superiore. Ad esempio, se il nome DNS privato è `myproxy-private.xks.example.com`, deve essere un sottodominio di un dominio pubblico come `xks.example.com` o `example.com`.
Devi [verificare la proprietà](#xks-private-dns) del dominio DNS per il nome DNS privato.
+ Un certificato TLS emesso da un'[autorità di certificazione pubblica supportata](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) per il proxy dell'archivio delle chiavi esterne.
Il nome comune del soggetto (CN) sul certificato TLS deve corrispondere al nome DNS privato. Ad esempio, se il nome DNS privato è `myproxy-private.xks.example.com`, il CN sul certificato TLS deve essere `myproxy-private.xks.example.com` o `*.xks.example.com`.
+ Per ridurre al minimo la latenza di rete, create i AWS componenti nel [supporto Regione AWS](keystore-external.md#xks-regions) più vicino al gestore di [chiavi esterno](keystore-external.md#concept-ekm). Se possibile, scegli una regione con un tempo di andata e ritorno (RTT) della rete di 35 millisecondi o meno.
Per informazioni su tutti i requisiti di un archivio delle chiavi esterne, consulta [Assemblare i prerequisiti](create-xks-keystore.md#xks-requirements).
## Fase 1: creazione di un Amazon VPC e delle sottoreti
La connettività del servizio endpoint VPC richiede un Amazon VPC connesso al gestore delle chiavi esterne con almeno due sottoreti private. Puoi creare un Amazon VPC o utilizzarne uno esistente che soddisfi i requisiti per gli archivi delle chiavi esterne. Per informazioni sulla creazione di un nuovo Amazon VPC, consulta [Creazione di un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC) nella *Guida per l'utente di Amazon Virtual Private Cloud*.
### Requisiti per Amazon VPC
Il servizio endpoint Amazon VPC deve avere le seguenti proprietà per funzionare con archivi di chiavi esterni.
+ Deve trovarsi in una [regione supportata](keystore-external.md#xks-regions) come archivio di chiavi esterno.
+ Richiede almeno due sottoreti private, ognuna in una zona di disponibilità diversa.
+ L'intervallo di indirizzi IP privati di Amazon VPC non deve sovrapporsi all'intervallo di indirizzi IP privati del data center che ospita il [gestore delle chiavi esterne](keystore-external.md#concept-ekm).
+ Tutti i componenti devono essere utilizzati IPv4.
Le opzioni per connettere Amazon VPC al proxy dell'archivio delle chiavi esterne sono molteplici. Scegli un'opzione che soddisfi le tue esigenze di prestazioni e sicurezza. Per un elenco, consulta [Connect your VPC ad altre reti](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) e Opzioni di connettività [Network-to-Amazon VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html). Per ulteriori dettagli, consulta [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) e la [Guida per l'utente di AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/).
### Creazione di un Amazon VPC per l'archivio delle chiavi esterne
Utilizza le istruzioni seguenti per creare un Amazon VPC per l'archivio delle chiavi esterne. Un Amazon VPC è necessario solo se scegli l'opzione di [connettività del servizio endpoint VPC](choose-xks-connectivity.md). Puoi utilizzare un Amazon VPC esistente, a condizione che soddisfi i requisiti di un archivio delle chiavi esterne.
Segui le istruzioni nell'argomento [Creazione di VPC, sottoreti e altre risorse VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-and-other-resources) utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.
| Campo | Valore |
| --- | --- |
| IPv4 blocco CIDR | Inserisci gli indirizzi IP per il VPC. L'intervallo di indirizzi IP privati di Amazon VPC non deve sovrapporsi all'intervallo di indirizzi IP privati del data center che ospita il [gestore delle chiavi esterne](keystore-external.md#concept-ekm). |
| Numero di zone di disponibilità () AZs | 2 o più |
| Numero di sottoreti pubbliche | Non è necessario indicare alcun valore (0) |
| Numero di sottoreti private | Una per ogni zona di disponibilità |
| Gateway NAT | Non è necessario indicare alcun valore. |
| Endpoint VPC | Non è necessario indicare alcun valore. |
| Enable DNS hostnames (Abilita hostname DNS) | Sì |
| Abilita risoluzione DNS | Sì |
Assicurati di testare la comunicazione VPC. Ad esempio, se il proxy dell'archivio delle chiavi esterne non si trova nel tuo Amazon VPC, crea un'istanza Amazon EC2 in Amazon VPC e verifica che Amazon VPC sia in grado di comunicare con il proxy dell'archivio delle chiavi esterne.
### Connessione del VPC al gestore delle chiavi esterne
Connetti il VPC al data center che ospita il gestore delle chiavi esterne utilizzando una delle [opzioni di connettività di rete](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) supportate da Amazon VPC. Assicurati che l'istanza Amazon EC2 nel VPC (o il proxy dell'archivio delle chiavi esterne nel caso in cui si trovi nel VPC) sia in grado di comunicare con il data center e il gestore delle chiavi esterne.
## Fase 2: Creare un gruppo target
Prima di creare il servizio endpoint VPC richiesto, crea i componenti necessari, vale a dire un Network Load Balancer e un gruppo di destinazione. Il Network Load Balancer distribuisce le richieste tra più destinazioni integre, ognuna delle quali può soddisfare la richiesta. In questo passaggio, crea un gruppo di destinazione con almeno due host per il proxy dell'archivio delle chiavi esterne e registra gli indirizzi IP con il gruppo di destinazione.
Segui le istruzioni nell'argomento [Configurazione di un gruppo di destinazione](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-target-group) utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.
| Campo | Valore |
| --- | --- |
| Target type (Tipo di destinazione) | Indcirizzi IP |
| Protocollo | TCP |
| Porta | 443 |
| Tipo di indirizzo IP | IPv4 |
| VPC | Scegli il VPC in cui creare il servizio endpoint VPC per l'archivio delle chiavi esterne. |
| Protocollo e percorso di controllo dell'integrità | Il protocollo e il percorso di controllo dell'integrità saranno diversi a seconda della configurazione del proxy dell'archivio delle chiavi esterne. Consulta la documentazione del gestore delle chiavi esterne o del proxy dell'archivio delle chiavi esterne.Per informazioni generali sulla configurazione dei controlli dell'integrità per i gruppi di destinazione, consulta [Controlli dell'integrità per i gruppi di destinazione](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-health-checks.html) nella Guida per l'utente di Elastic Load Balancing per Network Load Balancer. |
| Rete | Altro indirizzo IP privato |
| IPv4 indirizzo | Gli indirizzi privati del proxy dell'archivio delle chiavi esterne |
| Porte | 443 |
## Fase 3: Creare un sistema di bilanciamento del carico di rete
Il Network Load Balancer distribuisce il traffico di rete, comprese le richieste provenienti da AWS KMS al proxy dell'archivio delle chiavi esterne, fino alle destinazioni configurate.
Segui le istruzioni nell'argomento [Configurare un sistema di bilanciamento del carico e un ascoltatore](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-load-balancer) per configurare e aggiungere un ascoltatore e creare un sistema di bilanciamento del carico utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.
| Campo | Valore |
| --- | --- |
| Schema | Interno |
| Tipo di indirizzo IP | IPv4 |
| Mappatura della rete | Scegli il VPC in cui creare il servizio endpoint VPC per l'archivio delle chiavi esterne. |
| Mapping | Scegli entrambe le zone di disponibilità (almeno due) configurate per le sottoreti VPC. Verifica i nomi delle sottoreti e l'indirizzo IP privato. |
| Protocollo | TCP |
| Porta | 443 |
| Azione predefinita: Inoltra a | Scegli il [gruppo di destinazione](#xks-target-group) per il Network Load Balancer. |
## Fase 4: Creare un servizio endpoint VPC
In genere, la creazione di un endpoint è destinata a un servizio. Tuttavia, quando crei un servizio endpoint VPC, sei il fornitore e AWS KMS crei un endpoint per il tuo servizio. Per un archivio delle chiavi esterne, crea un servizio endpoint VPC con il Network Load Balancer creato nel passaggio precedente. Il servizio endpoint VPC può trovarsi nello stesso Account AWS archivio di chiavi esterno o in un altro. Account AWS
Più archivi delle chiavi esterne possono condividere un Amazon VPC, ma ogni archivio deve avere il proprio servizio endpoint VPC e il proprio nome DNS privato.
Segui le istruzioni nell'argomento [Creazione di un servizio endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html#create-endpoint-service-nlb) per creare il servizio endpoint VPC con i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.
| Campo | Valore |
| --- | --- |
| Nuovo tipo di load balancer | Rete |
| Sistemi di bilanciamento del carico disponibili | Scegli il [Network Load Balancer](#xks-nlb) creato nella fase precedente.Se il nuovo sistema di bilanciamento del carico non compare nell'elenco, verifica che il suo stato sia attivo. Potrebbero essere necessari alcuni minuti prima che lo stato del sistema di bilanciamento del carico passi dal provisioning ad attivo. |
| Accettazione richiesta | Falso. Deseleziona la casella di controllo.*Non richiedono* l'accettazione. AWS KMS non può connettersi al servizio endpoint VPC senza un'accettazione manuale. Se è richiesta l'accettazione, i tentativi di [creare l'archivio delle chiavi esterne](create-xks-keystore.md) falliscono con un'eccezione `XksProxyInvalidConfigurationException`. |
| Abilita nome DNS privato | Associa un nome DNS privato al servizio |
| Nome DNS privato | Inserisci un nome DNS privato che sia univoco nella Regione AWS. Il nome DNS privato deve essere un sottodominio di un dominio pubblico di livello superiore. Ad esempio, se il nome DNS privato è `myproxy-private.xks.example.com`, deve essere un sottodominio di un dominio pubblico come `xks.example.com` o `example.com`.Questo nome DNS privato deve corrispondere al nome comune del soggetto (CN) nel certificato TLS configurato sul proxy dell'archivio delle chiavi esterne. Ad esempio, se il nome DNS privato è `myproxy-private.xks.example.com`, il CN sul certificato TLS deve essere `myproxy-private.xks.example.com` o `*.xks.example.com`.Se il certificato e il nome DNS privato non corrispondono, i tentativi di connettere un archivio delle chiavi esterne al relativo proxy hanno esito negativo con un codice di errore di connessione di `XKS_PROXY_INVALID_TLS_CONFIGURATION`. Per informazioni dettagliate, vedi [Errori di configurazione generale](xks-troubleshooting.md#fix-xks-gen-configuration). |
| Tipi di indirizzo IP supportati | IPv4 |
## Fase 5: Verifica il tuo nome di dominio DNS privato
Quando crei il servizio endpoint VPC, lo stato di verifica del dominio è `pendingVerification`. Prima di creare un archivio delle chiavi esterne con il servizio endpoint VPC, tale stato deve essere `verified`. Per verificare di essere il proprietario del dominio associato al nome DNS privato, devi creare un record TXT in un server DNS pubblico.
Ad esempio, se il nome DNS privato per il tuo servizio endpoint VPC `myproxy-private.xks.example.com` è, devi creare un record TXT in un dominio pubblico, ad esempio `example.com` o, a seconda di `xks.example.com` quale sia pubblico. AWS PrivateLink cerca il record TXT prima e poi. `xks.example.com` `example.com`
**Suggerimento**
Dopo aver aggiunto un record TXT, potrebbero essere necessari alcuni minuti prima che il valore di **Domain verification status** (Stato di verifica del dominio) passi da `pendingVerification` a `verify`.
Per iniziare, individua lo stato di verifica del dominio utilizzando uno dei metodi seguenti. I valori validi sono `verified`, `pendingVerification` e `failed`.
+ Nella [console Amazon VPC](https://console.aws.amazon.com/vpc), scegli **Endpoint services** (Servizi endpoint), quindi seleziona il servizio endpoint. Nel riquadro dei dettagli, vedi **Domain verification status** (Stato di verifica del dominio).
+ Usa l'[DescribeVpcEndpointServiceConfigurations](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpointServiceConfigurations.html)operazione. Il valore `State` si trova nel campo `ServiceConfigurations.PrivateDnsNameConfiguration.State`.
Se lo stato della verifica non è `verified`, segui le istruzioni nell'argomento [Verifica della proprietà del dominio](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html#verify-domain-ownership) per aggiungere un record TXT al server DNS del dominio e verificare che il record TXT sia pubblicato. Quindi controlla nuovamente lo stato della verifica.
Non è necessario creare un record A per il nome del dominio DNS privato. Quando AWS KMS crea un endpoint di interfaccia per il tuo servizio endpoint VPC AWS PrivateLink , crea automaticamente una zona ospitata con il record A richiesto per il nome di dominio privato nel VPC. AWS KMS Per gli archivi delle chiavi esterne con connettività del servizio endpoint VPC, ciò accade quando [colleghi l'archivio delle chiavi esterne](xks-connect-disconnect.md) al relativo proxy.
## Fase 6: Autorizzazione AWS KMS alla connessione al servizio endpoint VPC
Consulta le seguenti procedure per gestire le autorizzazioni del servizio endpoint Amazon VPC. Ogni passaggio dipende dalla connettività e dalla configurazione tra l'archivio chiavi esterno, il servizio endpoint VPC e. Account AWS
------
#### [ Same Account AWS ]
Se il servizio endpoint VPC è di proprietà dello stesso Account AWS archivio chiavi esterno, è necessario aggiungerlo AWS KMS all'elenco dei **principali indirizzi consentiti per il servizio endpoint** VPC. Ciò consente di AWS KMS creare endpoint di interfaccia per il servizio endpoint VPC. Se non AWS KMS è un'opzione principale consentita, i tentativi di creare un archivio di chiavi esterno falliranno con un'eccezione. `XksProxyVpcEndpointServiceNotFoundException`
Segui le istruzioni nell'argomento [Gestione delle autorizzazioni](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) della *Guida di AWS PrivateLink *. Utilizza il seguente valore obbligatorio.
| Campo | Valore |
| --- | --- |
| AWS KMS ARN | cks.kms..amazonaws.com.rproxy.goskope.comAd esempio, `cks.kms.us-east-1.amazonaws.com` |
------
#### [ Cross Account AWS ]
Quando il tuo servizio endpoint VPC è di proprietà di un altro, Account AWS devi aggiungere entrambi AWS KMS e il tuo account all'elenco **Consenti** principali. Ciò consente AWS KMS e al tuo archivio di chiavi esterno di creare endpoint di interfaccia per il tuo servizio endpoint VPC. Se AWS KMS non rappresenta un principale consentito, i tentativi di creare un archivio delle chiavi esterne avranno esito negativo con un'eccezione `XksProxyVpcEndpointServiceNotFoundException`. Dovrai fornire l' Account AWS ARN in cui risiede l'archivio delle chiavi esterno.
Segui le istruzioni nell'argomento [Gestione delle autorizzazioni](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) della *Guida di AWS PrivateLink *. Utilizza il seguente valore obbligatorio.
| Campo | Valore |
| --- | --- |
| AWS KMS ARN | cks.kms..amazonaws.com.rproxy.goskope.comAd esempio, `cks.kms.us-east-1.amazonaws.com` |
| Account AWS ARN | arn:aws:iam::111122223333:role/role\$1nameAd esempio, `arn:aws:iam::123456789012:role/cks_role` |
------
**Successivo:** [Creare un archivio di chiavi esterno](create-xks-keystore.md)