外部キーストアの計画 - AWS Key Management Service
プロキシ接続オプションの選択

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部キーストアの計画

外部キーストアを作成する前に、AWS KMS と外部キーストアコンポーネントとの通信方法を決定する接続オプションを選択します。選択した接続オプションによって、残りの計画プロセスが決まります。

詳細はこちら:

  • 前提条件の組み合わせを含む、外部キーストアを作成するためのプロセスを確認します。外部キーストアを作成する際に、必要なコンポーネントがすべて揃っていることを確認するのに役立ちます。

  • 外部キーストア管理者およびユーザーが必要とする許可を含む、外部キーストアへのアクセスを制御する方法について説明します。

  • が外部キーストアAWS KMSに記録する Amazon CloudWatch のメトリクスとディメンションについて説明します。パフォーマンスや運用上の問題の兆候を早期に検出するために、外部キーストアをモニタリングするアラームを作成することを強くお勧めします。

プロキシ接続オプションの選択

外部キーストアを作成する場合は、AWS KMS と外部キーストアプロキシとの通信方法を決定する必要があります。この選択によって、必要なコンポーネントとその設定方法が決まります。AWS KMS は、次の接続オプションをサポートしています。パフォーマンスとセキュリティの目標に合ったオプションを選択します。

開始する前に、外部キーストアが必要であることを確認してください。ほとんどのお客様は、AWS KMS キーマテリアルによってバックアップされた KMS キーを使用できます。

注記

外部キーストアプロキシが外部キーマネージャーに組み込まれている場合は、接続が事前に決められている可能性があります。ガイダンスについては、外部キーマネージャーまたは外部キーストアプロキシのドキュメントを参照してください。

外部キーストアプロキシの接続オプションは、稼働中の外部キーストアでも変更できます。ただし、中断を最小限に抑え、エラーを回避し、データを暗号化する暗号化キーに継続的にアクセスできるように、プロセスを慎重に計画して実行する必要があります。

パブリックエンドポイント接続

AWS KMS は、パブリックエンドポイントを使用して、インターネット経由で外部キーストアプロキシ (XKS プロキシ) に接続します。

この接続オプションはセットアップと保守が簡単で、一部のキー管理モデルとも問題なく連携します。ただし、一部の組織のセキュリティ要件を満たしていない場合があります。

パブリックエンドポイント接続

要件

パブリックエンドポイント接続を選択する場合、以下が必要です。

  • 外部キーストアプロキシは、パブリックにルーティング可能なエンドポイントからアクセスできる必要があります。

  • プロキシ URI パス値が異なる場合は、複数の外部キーストアに同じパブリックエンドポイントを使用できます。

  • キーストアが異なる AWS アカウント にある場合でも、同じ AWS リージョン にパブリックエンドポイント接続がある外部キーストアと VPC エンドポイントサービス接続を備えた外部キーストアに、同じエンドポイントを使用することはできません。

  • 外部キーストアでサポートされている公開認証機関が発行した TLS 証明書を取得する必要があります。リストについては、「Trusted Certificate Authorities」(信頼された証明機関) を参照してください。

    TLS 証明書のサブジェクト共通名 (CN) は、外部キーストアプロキシのプロキシ URI エンドポイントのドメイン名と一致する必要があります。例えば、パブリックエンドポイントが https://myproxy.xks.example.com の場合、TLS、TLS 証明書の CN は、myproxy.xks.example.com または *.xks.example.com である必要があります。

  • AWS KMS と外部キーストアプロキシ間にあるファイアウォールが、プロキシのポート 443 との間のトラフィックを許可していることを確認します。AWS KMS はポート 443 で通信します。この値は設定できません。

外部キーストアのすべての要件については、前提条件を構成するを参照してください。

VPC エンドポイントサービス接続

AWS KMS は、作成および設定した Amazon VPC エンドポイントサービスへのインターフェイスエンドポイントを作成することにより、外部キーストアプロキシ (XKS プロキシ) に接続します。ユーザーは、VPC エンドポイントサービスを作成し、VPC を外部キーマネージャーに接続する責任があります。

エンドポイントサービスの通信には、AWS Direct Connect を含むすべてのサポートされている Network-to-Amazon VPC オプションを使用できます。

この接続オプションは、セットアップと保守が複雑です。ただし、AWS PrivateLink を使用しているため、AWS KMS は、パブリックインターネットを使用せずに Amazon VPC と外部キーストアプロキシにプライベートに接続できます。

外部キーストアプロキシは Amazon VPC にあります。

VPC エンドポイントサービス接続 - VPC 内の XKS プロキシ

または、外部キーストアプロキシを AWS の外部に配置し、Amazon VPC エンドポイントサービスを AWS KMS との安全な通信のみに使用することもできます。

VPC エンドポイントサービス接続 - AWS の外部の XKS プロキシ