翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
このセクションのガイダンスを使用して、VPC エンドポイントサービス接続を使用する外部キーストアに必要な AWS リソースおよび関連コンポーネントを作成および設定します。この接続オプションに一覧表示されているリソースは、すべての外部キーストアに必要なリソースを補足するものです。必要なリソースを作成、設定後に、外部キーストアを作成できます。
Amazon VPC で外部キーストアプロキシを見つけるか、 の外部でプロキシを見つけ AWS て、通信に VPC エンドポイントサービスを使用できます。
開始する前に、外部キーストアが必要であることを確認してください。ほとんどのお客様は、キーマテリアルでバックアップされた KMS AWS KMS キーを使用できます。
注記
VPC エンドポイントサービスの接続に必要な要素の一部は、外部キーマネージャーに含まれている場合があります。また、ソフトウェアに追加の設定要件が存在する場合があります。このセクションの AWS リソースを作成および設定する前に、プロキシとキーマネージャーのドキュメントを参照してください。
トピック
VPC エンドポイントサービス接続の要件
外部キーストアの VPC エンドポイントサービス接続を選択する場合、次のリソースが必要です。
ネットワークレイテンシーを最小限に抑えるには、外部キーマネージャーに最も近いサポートされている AWS リージョン に AWS コンポーネントを作成します。可能な場合は、ネットワークラウンドトリップ時間 (RTT) が 35 ミリ秒以下のリージョンを選択します。
-
外部キーマネージャーに接続されている Amazon VPC。2 つの異なるアベイラビリティーゾーンで 2 つ以上のプライベートサブネットが必要です。
外部キーストアでの使用の要件を満たしている場合は、外部キーストアに既存の Amazon VPC を使用できます。複数の外部キーストアが Amazon VPC を共有できますが、各外部キーストアに独自の VPC エンドポイントサービスとプライベート DNS 名が必要です。
-
Network Load Balancer とターゲットグループを備え、AWS PrivateLinkを搭載した Amazon VPC エンドポイントサービスです。
エンドポイントサービスは承認を要求できません。また、許可されたプリンシパルとして AWS KMS を追加する必要があります。これにより、 AWS KMS は外部キーストアプロキシと通信できるようにインターフェイスエンドポイントを作成できます。
-
AWS リージョン内で一意の、VPC エンドポイントサービスのプライベート DNS 名です。
プライベート DNS 名は、上位のパブリックドメインのサブドメインである必要があります。例えば、プライベート DNS 名が
myproxy-private.xks.example.comの場合、xks.example.comまたはexample.comなどのパブリックドメインのサブドメインである必要があります。プライベート DNS 名の DNS ドメインの所有権を検証する必要があります。
-
外部キーストアプロキシのサポートされている公開認証機関
が発行した TLS 証明書。 TLS 証明書のサブジェクト共通名 (CN) は、プライベート DNS 名と一致している必要があります。例えば、プライベート DNS 名が
myproxy-private.xks.example.comの場合、TLS 証明書の CN は、myproxy-private.xks.example.comまたは*.xks.example.comである必要があります。
外部キーストアのすべての要件については、前提条件を構成するを参照してください。
ステップ 1: Amazon VPC とサブネットを作成する
VPC エンドポイントサービス接続には、2 つ以上のプライベートサブネットをもつ外部キーマネージャーに接続された Amazon VPC が必要です。Amazon VPC を作成することも、外部キーストアの要件を満たす既存の Amazon VPC を使用することもできます。新しい Amazon VPC 作成のヘルプについては、「Amazon Virtual Private Cloud ユーザーガイド」の「VPC を作成する」を参照してください。
Amazon VPC の要件
VPC エンドポイントサービス接続を使用して外部キーストアを操作するには、Amazon VPC に次のプロパティが必要です。
-
外部キーストアと同じ AWS アカウント 、サポートされているリージョンに存在する必要があります。
-
それぞれ異なるアベイラビリティーゾーンに、2 つ以上のプライベートサブネットが必要です。
-
Amazon VPC のプライベート IP アドレス範囲が、外部キーマネージャーをホストするデータセンターのプライベート IP アドレス範囲と重複しないようにする必要があります。
-
すべてのコンポーネントが IPv4 を使用する必要があります。
Amazon VPC を外部キーストアプロキシに接続するには、多数の方法があります。必要なパフォーマンスとセキュリティのニーズを満たすオプションを選択します。リストについては、「VPC を他のネットワークに接続する」および「Network-to-Amazon VPC の接続オプション」を参照してください。詳細については、「AWS Direct Connect」、および「AWS Site-to-Site VPN ユーザーガイド」を参照してください。
外部キーストア用 Amazon VPC を作成する
次の手順に従って、外部キーストア用の Amazon VPC を作成します。Amazon VPC は、VPC エンドポイントサービス接続オプションを選択した場合にのみ必要です。外部キーストアの要件を満たす既存の Amazon VPC を使用できます。
次の必須値を使用して、「VPC、サブネット、他の VPC リソースを作成する」トピックの手順に従います。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
|---|---|
| IPv4 CIDR ブロック | VPC の IP アドレスを入力します。Amazon VPC のプライベート IP アドレス範囲が、外部キーマネージャーをホストするデータセンターのプライベート IP アドレス範囲と重複しないようにする必要があります。 |
| アベイラビリティーゾーン数 (AZ) | 2 以上 |
| パブリックサブネット数 |
何も必要ありません (0) |
| プライベートサブネット数 | AZ ごとに 1 つ |
| NAT ゲートウェイ | 何も必要ありません。 |
| VPC エンドポイント | 何も必要ありません。 |
| [Enable DNS hostnames] (DNS ホスト名を有効化) | はい |
| DNS 解決を有効にする | はい |
必ず VPC 通信をテストしてください。例えば、外部キーストアプロキシが Amazon VPC にない場合は、Amazon VPC に Amazon EC2 インスタンスを作成し、Amazon VPC が外部キーストアプロキシと通信できることを検証します。
VPC を外部キーマネージャーに接続する
Amazon VPC がサポートするネットワーク接続オプションのいずれかを使用して、外部キーマネージャーをホストするデータセンターに VPC を接続します。VPC 内の Amazon EC2 インスタンス (または、VPC 内にある場合は外部キーストアプロキシ) がデータセンターおよび外部キーマネージャーと通信できることを確認します。
ステップ 2: ターゲットグループを作成する
必要な VPC エンドポイントサービスを作成する前に、必要なコンポーネント、Network Load Balancer (NLB)、ターゲットグループを作成します。Network Load Balancer (NLB) は、リクエストを複数の正常なターゲットに分散し、いずれのターゲットもリクエストを処理できるようにします。このステップでは、外部キーストアプロキシ用に 2 つ以上のホストを含むターゲットグループを作成し、そのターゲットグループに IP アドレスを登録します。
次の必須値を使用して、「ターゲットグループの設定」トピックの手順に従います。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
|---|---|
| 対象タイプ | IP アドレス |
| プロトコル | TCP |
| ポート |
443 |
| IP アドレスタイプ | IPv4 |
| VPC | 外部キーストアの VPC エンドポイントサービスを作成する VPC を選択します。 |
| ヘルスチェックプロトコルとパス | ヘルスチェックプロトコルとパスは、外部キーストアプロキシの設定に応じて異なります。外部キーマネージャーまたは外部キーストアプロキシのドキュメントを参照してください。 ターゲットグループのヘルスチェック設定に関する一般情報は、Elastic Load Balancing ユーザーガイドの Network Load Balancer の項目にある「ターゲットグループのヘルスチェック」を参照してください。 |
| ネットワーク | その他のプライベート IP アドレス |
| IPv4 アドレス | 外部キーストアプロキシのプライベートアドレス |
| ポート | 443 |
ステップ 3: Network Load Balancer を作成する
Network Load Balancer は、外部キーストアプロキシへの AWS KMS からのリクエストなどのネットワークトラフィックを、設定されたターゲットに分散します。
「ロードバランサーとリスナーの設定」トピックの手順に従ってリスナーを設定および追加し、次の必須値を使用してロードバランサーを作成します。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
|---|---|
| スキーム | 内部 |
| IP アドレスタイプ | IPv4 |
| ネットワークマッピング |
外部キーストアの VPC エンドポイントサービスを作成する VPC を選択します。 |
| マッピング | VPC サブネットに設定した両方のアベイラビリティーゾーン (2 つ以上) を選択します。サブネット名とプライベート IP アドレスを検証します。 |
| プロトコル | TCP |
| ポート | 443 |
| デフォルトアクション: 転送 | Network Load Balancer のターゲットグループを選択します。 |
ステップ 4: VPC エンドポイントサービスを作成する
通常、サービスへのエンドポイントを作成します。ただし、VPC エンドポイントサービスを作成すると、プロバイダーとなり、 はサービスへのエンドポイント AWS KMS を作成します。外部キーストアの場合は、前のステップで作成した Network Load Balancer で VPC エンドポイントサービスを作成します。VPC エンドポイントサービスは、外部キーストアと同じ AWS アカウント 、サポートされているリージョンに存在する必要があります。
複数の外部キーストアが Amazon VPC を共有できますが、各外部キーストアに独自の VPC エンドポイントサービスとプライベート DNS 名が必要です。
「エンドポイントサービスの作成」トピックの手順に従って、次の必須値を含む VPC エンドポイントサービスを作成します。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
|---|---|
| ロードバランサーのタイプ | ネットワーク |
| 使用可能なロードバランサー | 前のステップで作成した Network Load Balancer を選択します。 新しいロードバランサーがリストに表示されない場合は、その状態がアクティブであることを確認します。ロードバランサーの状態がプロビジョニングからアクティブに変わるまでに、数分かかる場合があります。 |
| 承認が必要です | False。チェックボックスをオフにします。 承諾は必要ありません。手動承諾なしで VPC エンドポイントサービスに接続 AWS KMS することはできません。承認が必要な場合、外部キーストアを作成しようとすると、 |
| プライベート DNS 名を有効にする | プライベート DNS 名をサービスに関連付ける |
| プライベート DNS 名 | AWS リージョンで一意のプライベート DNS 名を入力します。 プライベート DNS 名は、上位のパブリックドメインのサブドメインである必要があります。例えば、プライベート DNS 名が このプライベート DNS 名は、外部キーストアプロキシに設定されている TLS 証明書のサブジェクト共通名 (CN) と一致する必要があります。例えば、プライベート DNS 名が 証明書とプライベート DNS 名が一致しない場合、外部キーストアを外部キーストアプロキシに接続しようとすると、 |
| サポートされている IP アドレスのタイプ | IPv4 |
ステップ 5: プライベート DNS 名ドメインを検証する
VPC エンドポイントサービスを作成すると、そのドメイン検証ステータスは pendingVerification になります。VPC エンドポイントサービスを使用して外部キーストアを作成する前に、このステータスが verified になっている必要があります。プライベート DNS 名に関連付けられたドメインを所有していることを検証するには、パブリック DNS サーバーに TXT レコードを作成する必要があります。
例えば、VPC エンドポイントサービスのプライベート DNS 名が の場合myproxy-private.xks.example.com、 xks.example.comまたは などのパブリックドメインに TXT レコードを作成する必要があります。 は最初に で TXT レコードを探xks.example.comしexample.com、次に で TXT レコード AWS PrivateLink を探しますexample.com。
ヒント
TXT レコードを追加した後、[Domain verification status] (ドメイン検証ステータス) の値が pendingVerification から verify に変わるまでに数分かかる場合があります。
最初に、次のいずれかの方法でドメインの検証ステータスを確認します。有効な値は、verified、pendingVerification、failed です。
-
Amazon VPC コンソール
で、[Endpoint services] (エンドポイントサービス) を選択し、エンドポイントサービスを選択します。詳細ペインで、[Domain verification status] (ドメイン検証ステータス) を参照してください。 -
DescribeVpcEndpointServiceConfigurations オペレーションを使用します。
State値はServiceConfigurations.PrivateDnsNameConfiguration.Stateフィールドにあります。
検証ステータスが verified でない場合は、ドメイン所有権の検証トピックの手順に従ってドメインの DNS サーバーに TXT レコードを追加し、TXT レコードが公開されていることを検証します。次に、検証ステータスを再度チェックします。
プライベート DNS ドメイン名の A レコードを作成する必要はありません。が VPC エンドポイントサービスへのインターフェイスエンドポイント AWS KMS を作成すると、 AWS PrivateLink は AWS KMS VPC 内のプライベートドメイン名に必要な A レコードを持つホストゾーンを自動的に作成します。これは、VPC エンドポイントサービス接続を備える外部キーストアの場合、外部キーストアを外部キーストアプロキシに接続したときに発生します。
ステップ 6: が VPC エンドポイントサービスに接続 AWS KMS することを許可する
VPC エンドポイントサービスの許可プリンシパルリスト AWS KMS に を追加する必要があります。これにより、 AWS KMS は VPC エンドポイントサービスへのインターフェイスエンドポイントを作成できます。 AWS KMS が許可されたプリンシパルでない場合、外部キーストアの作成の試行はXksProxyVpcEndpointServiceNotFoundException例外で失敗します。
「AWS PrivateLink ガイド」の「許可を管理する」トピックの手順に従ってください。次の必須値を使用します。
| フィールド | 値 |
|---|---|
| ARN | cks.kms.例えば、 |
Next: 外部キーストアを作成する
