本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您可以使用 AWS SDK、 AWS CLI或 , AWS KMS 透過 VPC 端點連線至 AWS Tools for PowerShell。若要指定 VPC 端點,請使用它的 DNS 名稱。
例如,此 list-keys 命令會使用 endpoint-url 參數來指定 VPC 端點。若要使用如下的命令,請將範例 VPC 端點 ID 換成您帳戶中的 ID。
$aws kms list-keys --endpoint-urlhttps://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com
- 所需的許可
-
若要讓使用 VPC 端點的 AWS KMS 請求成功,委託人需要兩個來源的許可:
例如,金鑰政策可能會授予委託人對特定 KMS 金鑰呼叫 Decrypt 的許可。不過,VPC 端點政策可能不允許該委託人透過使用端點對該 KMS 金鑰呼叫
Decrypt。或者,VPC 端點政策可能允許委託人使用端點呼叫對某些 KMS 金鑰呼叫 DisableKey。但是,如果委託人沒有來自金鑰政策、IAM 政策或授予的許可,則請求會失敗。
您可以在建立端點時建立 VPC 端點政策,並且可以隨時變更 VPC 端點政策。使用 VPC 管理主控台,或 CreateVpcEndpoint 或 ModifyVpcEndpoint 操作。您也可以使用 AWS CloudFormation 範本建立和變更 VPC 端點政策。如需有關如何使用 VPC 管理主控台的說明,請參閱《AWS PrivateLink 指南》中的建立介面端點和修改介面端點。
- 私有主機名稱
-
如果您在建立 VPC 端點時啟用私有主機名稱,則不需要在 CLI 命令或應用程式組態中指定 VPC 端點 URL。標準 AWS KMS DNS 主機名稱會解析為您的 VPC 端點。根據預設, AWS CLI 和 SDKs 會使用此主機名稱,因此您可以開始使用 VPC 端點連線到 AWS KMS 區域端點,而無需變更指令碼和應用程式中的任何內容。
若要使用私有主機名稱,您 VPC 的
enableDnsHostnames和enableDnsSupport屬性必須設為true。如需設定這些屬性,請使用 ModifyVpcAttribute 操作。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的檢視和更新 VPC 的 DNS 屬性。
