本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
選擇外部金鑰存放區代理連線選項
在建立外部金鑰存放區之前,請選擇連線選項,以決定如何與外部金鑰存放區元件 AWS KMS 通訊。您選擇的連接選項會決定規劃程序的剩餘部分。
如果您要建立外部金鑰存放區,您需要判斷如何與外部金鑰存放區代理 AWS KMS 通訊。此選項將決定您需要哪些元件,以及您設定這些元件的方式。 AWS KMS 支援下列連線選項。選擇可滿足您的效能和安全目標的選項。
開始之前,請確認您需要外部金鑰存放區。大多數客戶都可以使用KMS金鑰材料支援的 AWS KMS 金鑰。
注意
如果您的外部金鑰存放區代理內建於外部金鑰管理器中,則可能已預先決定您的連接。如需相關指導,請參閱外部金鑰管理器或外部金鑰存放區代理的文件。
即使在正操作的外部金鑰存放區中,您也可以變更外部金鑰存放區代理連接選項。但是,必須仔細規劃和執行此程序,以最大限度地減少中斷、避免錯誤並確保持續存取對您的資料進行加密的密碼編譯金鑰。
公有端點連接
AWS KMS 使用公有端點透過網際網路連線至外部金鑰存放區代理 (XKS 代理)。
此連接選項更易於設定和維護,並且可與某些金鑰管理模式完美配合。但是,其可能無法滿足某些組織的安全要求。
需求
如果您選擇公有端點連接,則需要下列項目。
-
您的外部金鑰存放區代理在公開可路由端點必須可存取。
-
您可以為多個外部金鑰存放區使用相同的公有端點,前提是它們使用不同的代理URI路徑值。
-
即使金鑰存放區位於不同的 AWS 區域,您也無法在具有公有端點連線能力的外部金鑰存放區和任何具有VPC端點服務連線能力的外部金鑰存放區使用相同的端點 AWS 帳戶。
-
您必須取得外部金鑰存放區支援的公有TLS憑證授權機構所發行的憑證。如需清單,請參閱受信任的憑證授權機構
。 TLS 憑證上的主旨一般名稱 (CN) 必須與外部金鑰存放區代理的代理URI端點中的網域名稱相符。例如,如果公有端點是
https://myproxy.xks.example.com,則憑證上的 TLSCN TLS 必須為myproxy.xks.example.com或*.xks.example.com。 -
確保 AWS KMS 和外部金鑰存放區代理之間的任何防火牆允許在 Proxy. AWS KMS communicates on port 443 上往返連接埠 443 的流量。此值不可設定。
如需外部金鑰存放區的所有要求,請參閱備妥先決條件。
VPC 端點服務連線
AWS KMS 透過建立介面端點至您建立和設定的 Amazon VPC端點服務,連線至外部金鑰存放區代理 (XKS 代理)。您負責建立VPC端點服務,以及將 VPC連線至外部金鑰管理員。
您的端點服務可以使用任何支援的 network-to-Amazon通訊VPC選項,包括 AWS Direct Connect。
此連接選項的設定和維護更為複雜。但它使用 AWS PrivateLink,這可讓您在不使用公有網際網路的情況下 AWS KMS ,私下連線至 Amazon VPC和外部金鑰存放區代理。
您可以在 Amazon 中找到外部金鑰存放區代理VPC。
或者,在 外部找到您的外部金鑰存放區代理, AWS 並VPC僅用於與 進行安全通訊 AWS KMS。
進一步了解:
-
檢閱建立外部金鑰存放區的程序,包括備妥先決條件。它將幫助您確保在建立外部金鑰存放區時具有所需的所有元件。
-
了解如何控制對外部金鑰存放區的存取,包括外部金鑰存放區管理員和使用者所需的許可。
-
了解為外部金鑰存放區 AWS KMS 記錄的 Amazon CloudWatch 指標和維度。強烈建議您建立警示來監控外部金鑰存放區,以便可偵測到效能和操作問題的早期跡象。
