Conectar-se a um endpoint da VPC do AWS KMS

Para que uma solicitação do AWS KMS que usa um endpoint da VPC seja bem-sucedida, a entidade principal requer permissões de duas origens:

Por exemplo, uma política de chaves pode dar à entidade principal permissão para chamar Decrypt em uma chave do KMS específica. No entanto, a política de endpoint da VPC pode não permitir que a entidade principal chame Decrypt nessa chave do KMS usando o endpoint.

Ou uma política de endpoint da VPC pode permitir que uma entidade principal use o endpoint para chamar DisableKey em determinadas chaves do KMS. Porém, se a entidade principal não tiver essas permissões de uma política de chaves, política do IAM ou concessão, ocorrerá falha na solicitação.

É possível criar uma política de endpoint da VPC ao criar seu endpoint e alterar a política de endpoint da VPC a qualquer momento. Use o console de gerenciamento da VPC ou as operações CreateVpcEndpoint ou ModifyVpcEndpoint. Você também pode criar e alterar uma política de endpoint da VPC usando um modelo do AWS CloudFormation. Para obter ajuda sobre o uso do console de gerenciamento da VPC, consulte Criar um endpoint de interface e Modificar um endpoint de interface no Guia do AWS PrivateLink.

Se os nomes de host privados tiverem sido ativados ao criar o endpoint da VPC, você não precisa especificar o URL do endpoint da VPC nos comandos de CLI ou na configuração da aplicação. O nome de host DNS padrão do AWS KMS será resolvido para o endpoint da VPC. A AWS CLI e os SDKs usam esse nome de host por padrão. Assim, você pode começar a usar o endpoint da VPC para se conectar a um endpoint regional do AWS KMS sem alterar nada em seus scripts e aplicações.

Para usar nomes de host privados, os atributosenableDnsHostnames e enableDnsSupport da sua VPC devem ser definidos como true. Para definir esses atributos, use a operação ModifyVpcAttribute. Para mais detalhes, consulte Exibir e atualizar atributos DNS para sua VPC no Guia do usuário do Amazon VPC.