As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Antes de criar seu armazenamento de chaves externo, escolha a opção de conectividade que determina como AWS KMS se comunica com os componentes do armazenamento de chaves externo. A opção de conectividade escolhida determinará o restante do processo de planejamento.
Se você estiver criando um armazenamento de chaves externo, precisará determinar como AWS KMS se comunica com seu proxy de armazenamento de chaves externo. Essa escolha determinará quais componentes você precisa e como você os configura. AWS KMS suporta as seguintes opções de conectividade. Escolha a opção que atenda aos seus objetivos de performance e segurança.
Antes de começar, confirme se você precisa de um armazenamento de chaves externas. A maioria dos clientes pode usar chaves KMS apoiadas por material de AWS KMS chaves.
nota
Se seu proxy de armazenamento de chaves externas estiver incorporado ao gerenciador de chaves externas, a conectividade poderá ser predeterminada. Para obter orientações, consulte a documentação do gerenciador de chaves externas ou do proxy de armazenamento de chaves externas.
Você pode alterar a opção de conectividade de proxy de armazenamento de chaves externas mesmo em um armazenamento de chaves externas operacional. Contudo, o processo deve ser planejado e executado com atenção para minimizar interrupções, evitar erros e garantir acesso contínuo às chaves de criptografia que criptografam seus dados.
Conectividade de endpoints públicos
AWS KMS se conecta ao proxy externo do armazenamento de chaves (proxy XKS) pela Internet usando um endpoint público.
Essa opção de conectividade é mais fácil de configurar e de manter e se alinha bem com alguns modelos de gerenciamento de chaves. No entanto, pode não atender aos requisitos de segurança de algumas organizações.
Requisitos
Se você escolher a conectividade de endpoint público, será necessário realizar as ações a seguir.
-
Seu proxy de armazenamento de chaves externas deve estar acessível em um endpoint roteável publicamente.
-
Você pode usar o mesmo endpoint público para vários armazenamentos de chaves externas, desde que eles usem valores de caminho do URI do proxy diferentes.
-
Você não pode usar o mesmo endpoint para um armazenamento de chaves externo com conectividade de endpoint público e qualquer armazenamento de chaves externo com conectividade de serviços de endpoint VPC no mesmo Região da AWS, mesmo que os armazenamentos de chaves estejam em locais diferentes. Contas da AWS
-
É necessário obter um certificado TLS emitido por uma autoridade de certificação pública com suporte para armazenamentos de chaves externas. Para obter uma lista, consulte Trusted Certificate Authorities
(Autoridades de certificação confiáveis). O nome comum (CN) da entidade no certificado TLS deve corresponder ao nome do domínio no endpoint do URI do proxy do armazenamento de chaves externas. Por exemplo, se o endpoint público for
https://myproxy.xks.example.com, o TLS, o CN no certificado TLS deverá sermyproxy.xks.example.comou*.xks.example.com. -
Certifique-se de que qualquer firewall entre AWS KMS e o proxy externo do armazenamento de chaves permita o tráfego de e para a porta 443 no proxy. AWS KMS se comunica na porta 443. Esse valor não é configurável.
Para todos os requisitos de um armazenamento de chaves externas, consulte Organizar os pré-requisitos.
Conectividade do serviço de endpoint da VPC
AWS KMS se conecta ao proxy externo do armazenamento de chaves (proxy XKS) criando um endpoint de interface para um serviço de endpoint da Amazon VPC que você cria e configura. Você é responsável por criar o serviço de endpoint da VPC e por conectar sua VPC ao gerenciador de chaves externas.
Seu serviço de endpoint pode usar qualquer uma das opções de network-to-AmazonVPC compatíveis para comunicações, inclusive. AWS Direct Connect
Essa opção de conectividade é mais complicada de configurar e manter. Mas ele usa AWS PrivateLink, o que permite AWS KMS conectar-se de forma privada à sua Amazon VPC e ao seu proxy externo de armazenamento de chaves sem usar a Internet pública.
Você pode localizar o proxy de armazenamento de chaves externas na Amazon VPC.
Ou localize seu proxy externo de armazenamento de chaves fora AWS e use seu serviço de endpoint Amazon VPC somente para comunicação segura com. AWS KMS
Saiba mais:
-
Analise o processo de criação de um armazenamento de chaves externas, incluindo a montagem dos pré-requisitos. Isso ajudará a garantir que você tenha todos os componentes obrigatórios para criar seu armazenamento de chaves externas.
-
Saiba como controlar o acesso ao armazenamento de chaves externas, inclusive as permissões que os administradores e usuários do armazenamento de chaves externas exigem.
-
Saiba mais sobre as CloudWatch métricas e dimensões da Amazon que AWS KMS registram para lojas de chaves externas. É altamente recomendável criar alarmes para monitorar o armazenamento de chaves externas para poder detectar os primeiros sinais de problemas operacionais e de performance.
