本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
連線至 AWS KMS VPC端點
您可以使用 AWS SDK、 AWS CLI或 , AWS KMS 透過VPC端點連線至 AWS Tools for PowerShell。若要指定VPC端點,請使用其DNS名稱。
例如,此 list-keys 命令會使用 endpoint-url 參數來指定VPC端點。若要使用這類命令,請將範例VPC端點 ID 取代為帳戶中的範例端點 ID。
$aws kms list-keys --endpoint-urlhttps://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com
- 所需的許可
-
對於使用VPC端點來成功的 AWS KMS 請求,主體需要兩個來源的許可:
例如,金鑰政策可能會授予主體在特定KMS金鑰上呼叫 Decrypt 的許可。不過,VPC端點政策可能不允許該主體使用端點
Decrypt呼叫該KMS金鑰。或者,VPC端點政策可能會允許主體使用端點DisableKey呼叫某些KMS金鑰。但是,如果委託人沒有金鑰政策、IAM政策或授予的這些許可,則請求會失敗。
您可以在建立VPC端點時建立端點政策,而且您可以隨時變更VPC端點政策。使用 VPC 管理主控台,或 CreateVpcEndpoint或 ModifyVpcEndpoint操作。您也可以使用 AWS CloudFormation 範本 建立和變更VPC端點政策。如需使用 VPC 管理主控台的說明,請參閱 AWS PrivateLink 指南 中的建立介面端點和修改介面端點。
- 私有主機名稱
-
如果您在建立VPC端點時啟用了私有主機名稱,則不需要在CLI命令或應用程式組態URL中指定VPC端點。標準 AWS KMS DNS主機名稱會解析為您的VPC端點。根據預設, AWS CLI 和 SDKs使用此主機名稱,因此您可以開始使用VPC端點連線到 AWS KMS 區域端點,而無需變更指令碼和應用程式中的任何內容。
若要使用私有主機名稱,您的
enableDnsHostnames和enableDnsSupport屬性VPC必須設定為true。若要設定這些屬性,請使用 ModifyVpcAttribute操作。如需詳細資訊,請參閱 Amazon VPC使用者指南 中的檢視和更新 的DNS屬性VPC。
