As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Planejar um armazenamento de chaves externas
Antes de criar seu armazenamento de chaves externas, escolha a opção de conectividade que determina como o AWS KMS se comunicará com os componentes do armazenamento de chaves externas. A opção de conectividade escolhida determinará o restante do processo de planejamento.
Saiba mais:
-
Analise o processo de criação de um armazenamento de chaves externas, incluindo a montagem dos pré-requisitos. Isso ajudará a garantir que você tenha todos os componentes obrigatórios para criar seu armazenamento de chaves externas.
-
Saiba como controlar o acesso ao armazenamento de chaves externas, inclusive as permissões que os administradores e usuários do armazenamento de chaves externas exigem.
-
Saiba mais sobre as CloudWatch métricas e dimensões da Amazon que AWS KMS registram para lojas de chaves externas. É altamente recomendável criar alarmes para monitorar o armazenamento de chaves externas para poder detectar os primeiros sinais de problemas operacionais e de performance.
Escolher uma opção de conectividade do proxy
Se você estiver criando um armazenamento de chaves externas, precisará determinar como o AWS KMS se comunica com o proxy de armazenamento de chaves externas. Essa escolha determinará quais componentes são necessários e como configurá-los. O AWS KMS oferece suporte às opções de conectividade a seguir. Escolha a opção que atenda aos seus objetivos de performance e segurança.
Antes de começar, confirme se você precisa de um armazenamento de chaves externas. A maioria dos clientes pode usar chaves do KMS baseadas em material de chave do AWS KMS.
nota
Se seu proxy de armazenamento de chaves externas estiver incorporado ao gerenciador de chaves externas, a conectividade poderá ser predeterminada. Para obter orientações, consulte a documentação do gerenciador de chaves externas ou do proxy de armazenamento de chaves externas.
Você pode alterar a opção de conectividade de proxy de armazenamento de chaves externas mesmo em um armazenamento de chaves externas operacional. Contudo, o processo deve ser planejado e executado com atenção para minimizar interrupções, evitar erros e garantir acesso contínuo às chaves de criptografia que criptografam seus dados.
Conectividade de endpoints públicos
O AWS KMS se conecta ao proxy de armazenamento de chaves externas (proxy XKS) pela Internet usando um endpoint público.
Essa opção de conectividade é mais fácil de configurar e de manter e se alinha bem com alguns modelos de gerenciamento de chaves. No entanto, pode não atender aos requisitos de segurança de algumas organizações.
Requisitos
Se você escolher a conectividade de endpoint público, será necessário realizar as ações a seguir.
-
Seu proxy de armazenamento de chaves externas deve estar acessível em um endpoint roteável publicamente.
-
Você pode usar o mesmo endpoint público para vários armazenamentos de chaves externas, desde que eles usem valores de caminho do URI do proxy diferentes.
-
Você pode usar o mesmo endpoint para um armazenamento de chaves externas com conectividade de endpoint público e qualquer armazenamento de chaves externas com conectividade de serviços de endpoint da VPC na mesma Região da AWS, mesmo que os armazenamentos de chaves estejam em Contas da AWS diferentes.
-
É necessário obter um certificado TLS emitido por uma autoridade de certificação pública com suporte para armazenamentos de chaves externas. Para obter uma lista, consulte Trusted Certificate Authorities
(Autoridades de certificação confiáveis). O nome comum (CN) da entidade no certificado TLS deve corresponder ao nome do domínio no endpoint do URI do proxy do armazenamento de chaves externas. Por exemplo, se o endpoint público for
https://myproxy.xks.example.com, o TLS, o CN no certificado TLS deverá sermyproxy.xks.example.comou*.xks.example.com. Certifique-se de que qualquer firewall entre o AWS KMS e o proxy de armazenamento de chaves externas permita tráfego de entrada e saída pela porta 443 no proxy. O AWS KMS se comunica na porta 443. Esse valor não é configurável.
Para todos os requisitos de um armazenamento de chaves externas, consulte Organizar os pré-requisitos.
Conectividade do serviço de endpoint da VPC
O AWS KMS se conecta ao proxy de armazenamento de chaves externas (proxy XKS) criando um endpoint de interface para um serviço de endpoint da Amazon VPC que você cria e configura. Você é responsável por criar o serviço de endpoint da VPC e por conectar sua VPC ao gerenciador de chaves externas.
Seu serviço de endpoint pode usar qualquer uma das opções com suporte de rede para a Amazon VPC para comunicações, inclusive AWS Direct Connect.
Essa opção de conectividade é mais complicada de configurar e manter. Mas usa o AWS PrivateLink, permitindo que o AWS KMS se conecte de forma privada à sua Amazon VPC e ao proxy de armazenamento de chaves externas sem usar a Internet pública.
Você pode localizar o proxy de armazenamento de chaves externas na Amazon VPC.
Ou localize seu proxy de armazenamento de chaves externas fora da AWS e use seu serviço de endpoint da Amazon VPC somente para comunicação segura com o AWS KMS.
