选择外部密钥存储代理连接选项 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

选择外部密钥存储代理连接选项

在创建外部密钥存储之前,选择连接选项以确定 AWS KMS 与外部密钥存储的通信方式。您选择的连接选项决定了规划过程的剩余步骤。

如果您要创建外部密钥存储,则需要确定 AWS KMS 与外部密钥存储代理的通信方式。此选择将决定您需要的组件以及组件的配置方式。AWS KMS 支持以下连接选项。选择能满足性能和安全目标的选项。

在开始之前,请确认您需要外部密钥存储。大多数客户可以使用由 AWS KMS 密钥材料支持的 KMS 密钥。

注意

如果您的外部密钥存储代理构建到外部密钥管理器中,则您的连接可能是预先确定的。有关详细信息,请参阅外部密钥管理器或外部密钥存储代理的文档。

即使在正在运行的外部密钥存储上,您也可以更改外部密钥存储代理的连接选项。但是,必须仔细规划和执行该过程,以尽可能减少中断和避免错误,并确保继续访问加密数据的加密密钥。

公有端点连接

AWS KMS 使用公有端点通过 Internet 连接到外部密钥存储代理(XKS 代理)。

此连接选项更易于设置和维护,并且可以与某些密钥管理模型很好地匹配。但是,此选项可能无法满足某些组织的安全要求。

公有端点连接

要求

如果您选择公有端点连接,则需要满足以下条件。

  • 您的外部密钥存储代理必须可以在可公开路由的端点上访问。

  • 您可以将同一个公有端点用于多个外部密钥存储,前提是这些外部密钥存储使用不同的代理 URI 路径值。

  • 您不能在同一 AWS 区域 中将同一端点用于具有公有端点连接的外部密钥存储和任何具有 VPC 端点服务连接的外部密钥存储,即使密钥存储位于不同的 AWS 账户 中也是如此。

  • 您必须获得由外部密钥存储支持的公有证书颁发机构颁发的 TLS 证书。有关列表,请参阅 Trusted Certificate Authorities(受信任的证书颁发机构)。

    TLS 证书上的主题公用名(CN)必须与外部密钥存储代理的代理 URI 端点中的域名相匹配。例如,如果公有端点是 https://myproxy.xks.example.com,即 TLS,则 TLS 证书上的 CN 必须为 myproxy.xks.example.com*.xks.example.com

  • 确保 AWS KMS 与外部密钥存储代理之间的任何防火墙都允许流入和流出代理上的端口 443。AWS KMS 在端口 443 上通信。此值不可配置。

有关外部密钥存储的所有要求,请参阅 Assemble the prerequisites(汇编先决条件)。

VPC 端点服务连接

AWS KMS 通过创建指向您创建和配置的 Amazon VPC 端点服务的接口端点,来连接到外部密钥存储代理(XKS 代理)。您负责创建 VPC 端点服务并将您的 VPC 连接到外部密钥管理器。

您的端点服务可以使用任何支持的网络到 Amazon VPC 选项进行通信,包括 AWS Direct Connect

此连接选项的设置和维护更为复杂。但是此连接选项使用了 AWS PrivateLink,以便 AWS KMS 可以在不使用公有 Internet 的情况下私密地连接到 Amazon VPC 和外部密钥存储代理。

您可以在您的 Amazon VPC 中找到外部密钥存储代理。

VPC 端点服务连接 – VPC 中的 XKS 代理

或者,在 AWS 外部找到您的外部密钥存储代理,并仅将 Amazon VPC 端点服务用于与 AWS KMS 进行安全通信。

VPC 端点服务连接 – AWS 外部的 XKS 代理

了解更多:

  • 查看创建外部密钥存储的过程,包括汇编先决条件。这将帮助您确保在创建外部密钥存储时拥有所需的所有组件。

  • 了解如何控制对外部密钥存储的访问,包括外部密钥存储管理员和用户所需的权限。

  • 了解 AWS KMS 为外部密钥存储记录的 Amazon CloudWatch 指标和维度。我们强烈建议您创建警报来监控外部密钥存储,以便您就可以检测出性能和操作问题的早期迹象。