As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar a conectividade do serviço de endpoint da VPC
Use as orientações desta seção para criar e configurar os recursos da AWS e componentes relacionados obrigatórios para um armazenamento de chaves externas que usa a conectividade do serviço de endpoint da VPC. Os recursos listados para essa opção de conectividade são um complemento aos recursos obrigatórios para todos os armazenamentos de chaves externas. Depois de criar e configurar os recursos obrigatórios, você pode criar seu armazenamento de chaves externas.
Você pode localizar seu proxy de armazenamento de chaves externas na Amazon VPC ou localizar o proxy fora da AWS e usar seu serviço de endpoint da VPC para comunicação.
Antes de começar, confirme se você precisa de um armazenamento de chaves externas. A maioria dos clientes pode usar chaves do KMS baseadas em material de chave do AWS KMS.
nota
Alguns dos elementos obrigatórios para a conectividade do serviço de endpoint da VPC podem estar incluídos no gerenciador de chaves externas. Além disso, seu software pode ter outros requisitos de configuração. Antes de criar e configurar os recursos da AWS desta seção, consulte a documentação do proxy e do gerenciador de chaves.
Tópicos
- Requisitos para conectividade do serviço de endpoint da VPC
- Etapa 1: criar uma Amazon VPC e sub-redes
- Etapa 2: criar um grupo de destino
- Etapa 3: criar um Network Load Balancer
- Etapa 4: criar um serviço de endpoint da VPC
- Etapa 5: verificar o domínio do seu nome de DNS privado
- Etapa 6: autorizar o AWS KMS a se conectar ao serviço de endpoint da VPC
Requisitos para conectividade do serviço de endpoint da VPC
Se você escolher a conectividade do serviço de endpoint da VPC para seu armazenamento de chaves externas, serão necessários os recursos a seguir.
Para minimizar a latência da rede, crie seus componentes da AWS na Região da AWS com suporte que esteja mais próxima do gerenciador de chaves externas. Se possível, escolha uma região com um tempo de resposta (RTT) de 35 milissegundos ou menos.
-
Uma Amazon VPC conectada ao gerenciador de chaves externas. Deve ter pelo menos duas sub-redes privadas em duas zonas de disponibilidade diferentes.
Você pode usar uma Amazon VPC existente para seu armazenamento de chaves externas, desde que ela atenda aos requisitos de uso do armazenamento de chaves externas. Vários armazenamentos de chaves externas podem compartilhar uma Amazon VPC, mas cada armazenamento de chaves externas deve ter seu próprio serviço de endpoint da VPC e nome DNS privado.
-
Um serviço de endpoint da Amazon VPC desenvolvido pelo AWS PrivateLink com um balanceador de carga de rede e um grupo de destino.
O serviço de endpoint não pode exigir aceitação. Além disso, você deve adicionar o AWS KMS como entidade principal autorizada. Isso permite que o AWS KMS crie endpoints de interface para que ele possa se comunicar com seu proxy de armazenamento de chaves externas.
-
Um nome DNS privado para o serviço de endpoint da VPC exclusivo em sua Região da AWS.
O nome DNS privado deve ser o subdomínio de um domínio público de nível superior. Por exemplo, se o nome DNS privado for
myproxy-private.xks.example.com, ele deverá ser o subdomínio de um domínio público, comoxks.example.comouexample.com.É necessário verificar a propriedade do domínio DNS para o nome DNS privado.
-
Um certificado TLS emitido por uma autoridade de certificação pública
com suporte para o proxy de armazenamento de chaves externas. O nome comum (CN) da entidade no certificado TLS deve corresponder ao nome DNS privado. Por exemplo, se o nome DNS privado for
myproxy-private.xks.example.com, o CN no certificado TLS deverá sermyproxy-private.xks.example.comou*.xks.example.com.
Para todos os requisitos de um armazenamento de chaves externas, consulte Organizar os pré-requisitos.
Etapa 1: criar uma Amazon VPC e sub-redes
A conectividade do serviço de endpoint da VPC exige uma Amazon VPC conectada ao gerenciador de chaves externas com pelo menos duas sub-redes privadas. Você pode criar uma Amazon VPC ou usar uma Amazon VPC existente que atenda aos requisitos para armazenamentos de chaves externas. Para obter ajuda sobre como criar uma nova Amazon VPC, consulte Criar uma VPC no Guia do usuário da Amazon Virtual Private Cloud.
Requisitos para sua Amazon VPC
Para trabalhar com armazenamentos de chaves externas usando a conectividade do serviço de endpoint da VPC, a Amazon VPC deve ter as seguintes propriedades:
-
Deve estar na mesma Conta da AWS e região com suporte do armazenamento de chaves externas.
-
Requer pelo menos duas sub-redes privadas, cada uma em uma zona de disponibilidade diferente.
-
O intervalo de endereços IP privados de sua Amazon VPC não deve se sobrepor ao intervalo de endereços IP privados do data center que hospeda seu gerenciador de chaves externas.
-
Todos os componentes devem usar IPv4.
Você tem muitas opções para conectar a Amazon VPC ao seu proxy de armazenamento de chaves externas. Escolha uma opção que atenda a suas necessidades de performance e segurança. Para obter uma lista, consulte Conectar sua VPC a outras redes e Network-to-Amazon VPC connectivity options (Opções de conectividade entre a rede e a Amazon VPC). Para obter mais detalhes, consulte AWS Direct Connect e o Guia do usuário do AWS Site-to-Site VPN.
Criar uma Amazon VPC para seu armazenamento de chaves externas
Use as instruções a seguir para criar a Amazon VPC para o armazenamento de chaves externas. Uma Amazon VPC será necessária somente se você escolher a opção de conectividade do serviço de endpoint da VPC. Você pode criar uma Amazon VPC existente que atenda aos requisitos de um armazenamento de chaves externas.
Siga as instruções no tópico Criar uma VPC, sub-redes e outros recursos de VPC usando os valores obrigatórios abaixo. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
|---|---|
| IPv4 CIDR block (Bloco CIDR IPv4) | Insira os endereços IP da VPC. O intervalo de endereços IP privados de sua Amazon VPC não deve se sobrepor ao intervalo de endereços IP privados do data center que hospeda seu gerenciador de chaves externas. |
| Número de zonas de disponibilidade (AZs) | 2 ou mais |
| Número de sub-redes públicas |
Nenhum é obrigatório (0) |
| Número de sub-redes privadas | Um para cada AZ |
| Gateways NAT | Nenhum é obrigatório. |
| Endpoints da VPC | Nenhum é obrigatório. |
| Enable DNS hostnames | Sim |
| Habilitar a resolução de DNS | Sim |
Não se esqueça de testar a comunicação da VPC. Por exemplo, se o proxy de armazenamento de chaves externas não estiver localizado na Amazon VPC, crie uma instância do Amazon EC2 em sua Amazon VPC e verifique se a Amazon VPC pode se comunicar com seu proxy de armazenamento de chaves externas.
Conectar a VPC ao gerenciador de chaves externas
Conecte a VPC ao data center em que o gerenciador de chaves externas está hospedado usando uma das opções de conectividade de rede compatíveis com a Amazon VPC. Certifique-se de que a instância do Amazon EC2 na VPC (ou o proxy de repositório de chaves externo, se estiver na VPC) possa se comunicar com o data center e o gerenciador de chaves externas.
Etapa 2: criar um grupo de destino
Antes de criar o serviço de endpoint da VPC obrigatório, crie seus componentes obrigatórios, um balanceador de carga de rede (NLB) e um grupo de destino. O balanceador de carga de rede (NLB) distribui solicitações entre vários destinos íntegros, e qualquer um deles pode atender à solicitação. Nesta etapa, você cria um grupo de destino com pelo menos dois hosts para seu proxy de armazenamento de chaves externas e registra seus endereços IP com o grupo de destino.
Siga as instruções no tópico Configure a target group (Configurar um grupo de destino) usando os valores obrigatórios a seguir. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
|---|---|
| Target type | Endereços IP |
| Protocolo | TCP |
| Port (Porta) |
443 |
| Tipo de endereço IP | IPv4 |
| VPC | Escolha a VPC em que você criará o serviço de endpoint da VPC para seu armazenamento de chaves externas. |
| Protocolo e caminho de verificação de integridade | O protocolo e o caminho de verificação de integridade serão diferentes da configuração de proxy de armazenamento de chaves externas. Consulte a documentação do gerenciador de chaves externas ou do proxy de armazenamento de chaves externas. Para obter informações gerais sobre como configurar verificações de integridade para grupos de destino, consulte Health checks for your target groups (Verificações de integridade de grupos de destino) no Guia do usuário do Elastic Load Balancing para Network Load Balancers. |
| Rede | Outro endereço IP privado |
| Endereço IPv4 | Os endereços privados do proxy de armazenamento de chaves externas |
| Portas | 443 |
Etapa 3: criar um Network Load Balancer
O balanceador de carga de rede distribui o tráfego da rede, incluindo solicitações do AWS KMS para seu proxy de armazenamento de chaves externas, aos destinos configurados.
Siga as instruções no tópico Configure a load balancer and a listener (Configurar um balanceador de carga e um receptor) para configurar e adicionar um receptor e criar um balanceador de carga usando os valores obrigatórios a seguir. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
|---|---|
| Esquema | Interno |
| Tipo de endereço IP | IPv4 |
| Mapeamento de rede |
Escolha a VPC em que você criará o serviço de endpoint da VPC para seu armazenamento de chaves externas. |
| Mapeamento | Escolha as duas zonas de disponibilidade (pelo menos duas) que você configurou para as sub-redes da VPC. Verifique os nomes das sub-redes e o endereço IP privado. |
| Protocolo | TCP |
| Port (Porta) | 443 |
| Ação padrão: encaminhar para | Escolha o grupo de destino para seu balanceador de carga de rede. |
Etapa 4: criar um serviço de endpoint da VPC
Normalmente, você cria um endpoint para um serviço. No entanto, ao criar um serviço de endpoint da VPC, você é o provedor, e o AWS KMS cria um endpoint para seu serviço. Para um armazenamento de chaves externas, crie um serviço de endpoint da VPC com o balanceador de carga de rede criado na etapa anterior. O serviço de endpoint da VPC deve estar na mesma Conta da AWS e região compatível que o armazenamento de chaves externas.
Vários armazenamentos de chaves externas podem compartilhar uma Amazon VPC, mas cada armazenamento de chaves externas deve ter seu próprio serviço de endpoint da VPC e nome DNS privado.
Siga as instruções no tópico Create an endpoint service (Criar um serviço de endpoint) para criar seu serviço de endpoint da VPC com os valores obrigatórios a seguir. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
|---|---|
| Tipo de load balancer | Rede |
| Balanceadores de carga disponíveis | Escolha o balanceador de carga de rede criado na etapa anterior. Se o novo balanceador de carga não for exibido na lista, verifique se o estado está ativo. Pode demorar alguns minutos para que o estado do balanceador de carga seja alterado de em provisionamento para ativo. |
| Aceitação obrigatória | Falso. Desmarque a caixa de seleção. Não requer aceitação. O AWS KMS não consegue se conectar ao serviço de endpoint da VPC sem uma aceitação manual. Se a aceitação for obrigatória, as tentativas de criar o armazenamento de chaves externas falharão com uma exceção |
| Habilitar nome DNS privado | Associar um nome DNS privado ao serviço |
| Nome DNS privado | Insira um nome DNS privado que seja exclusivo na Região da AWS. O nome DNS privado deve ser o subdomínio de um domínio público de nível superior. Por exemplo, se o nome DNS privado for Esse nome DNS privado deve corresponder ao nome comum (CN) da entidade no certificado TLS configurado em seu proxy de armazenamento de chaves externas. Por exemplo, se o nome DNS privado for Se o certificado e o nome DNS privado não coincidirem, as tentativas de conectar um armazenamento de chaves externas ao proxy de armazenamento de chaves externas falharão com um código de erro de conexão de |
| Tipos de endereço IP compatíveis | IPv4 |
Etapa 5: verificar o domínio do seu nome de DNS privado
Quando você cria o serviço de endpoint da VPC, seu status de verificação de domínio é pendingVerification. Antes de usar o serviço de endpoint da VPC para criar um armazenamento de chaves externas, esse status deve ser verified. Para verificar se você é o proprietário do domínio associado ao nome DNS privado, é necessário criar um registro TXT em um servidor DNS público.
Por exemplo, se o nome DNS privado do serviço de endpoint da VPC for myproxy-private.xks.example.com, você deverá criar um registro TXT em um domínio público, como xks.example.com ou example.com, o que for público. O AWS PrivateLink procura o registro TXT primeiro em xks.example.com e depois em example.com.
dica
Depois que você adicionar um registro TXT, poderá levar alguns minutos para que o valor do status da verificação do domínio seja alterado de pendingVerification para verify.
Para começar, encontre o status de verificação do domínio usando um dos métodos a seguir. Os valores válidos são verified, pendingVerification e failed.
-
No console da Amazon VPC
, escolha Endpoint services (Serviços de endpoint) e escolha o serviço de endpoint. No painel de detalhes, consulte Domain verification status (Status da verificação do domínio). -
Use a operação DescribeVpcEndpointServiceConfigurations. O valor de
Stateestá no campoServiceConfigurations.PrivateDnsNameConfiguration.State.
Se o status da verificação não for verified, siga as instruções no tópico Domain ownership verification (Verificação de propriedade do domínio) para adicionar um registro TXT ao servidor DNS do domínio e verificar se o registro TXT foi publicado. Em seguida, verifique o status de verificação novamente.
Não é necessário criar um registro A para o nome de domínio DNS privado. Quando o AWS KMS cria um endpoint de interface para seu serviço de endpoint da VPC, o AWS PrivateLink cria automaticamente uma zona hospedada com o registro A obrigatório para o nome de domínio privado na VPC do AWS KMS. Para armazenamentos de chaves externas com conectividade de serviço de endpoint da VPC, isso acontece quando você conecta seu armazenamento de chaves externas ao proxy de armazenamento de chaves externas.
Etapa 6: autorizar o AWS KMS a se conectar ao serviço de endpoint da VPC
Você deve adicionar o AWS KMS à lista de entidades principais autorizadas para seu serviço de endpoint da VPC. Isso permite que o AWS KMS crie endpoints de interface para seu serviço de endpoint da VPC. Se o AWS KMS não for uma entidade principal autorizada, as tentativas de criar um armazenamento de chaves externas falharão, com a exceção XksProxyVpcEndpointServiceNotFoundException.
Siga as instruções no tópico Manage permissions (Gerenciar permissões) no Guia do AWS PrivateLink. Use o valor obrigatório a seguir.
| Campo | Valor |
|---|---|
| ARN | cks.kms.Por exemplo, |
Próximo: Criar um repositório de chaves externo
