Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Wählen Sie eine Proxy-Konnektivitätsoption für externen Schlüsselspeicher

PDF
RSS
Fokusmodus
Wählen Sie eine Proxy-Konnektivitätsoption für externen Schlüsselspeicher - AWS Key Management Service
Konnektivität eines öffentlichen EndpunktsKonnektivität eines VPC-Endpunktservice

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bevor Sie Ihren externen Schlüsselspeicher erstellen, wählen Sie die Konnektivitätsoption, die bestimmt, wie mit Ihren externen Schlüsselspeicher-Komponenten AWS KMS kommuniziert wird. Der Rest des Planungsprozesses hängt davon ab, welche Konnektivitätsoption Sie auswählen.

Wenn Sie einen externen Schlüsselspeicher erstellen, müssen Sie festlegen, wie mit Ihrem externen Schlüsselspeicher-Proxy AWS KMS kommuniziert wird. Diese Auswahl bestimmt, welche Komponenten Sie benötigen und wie Sie sie konfigurieren. AWS KMS unterstützt die folgenden Konnektivitätsoptionen. Wählen Sie die Option aus, die Ihren Leistungs- und Sicherheitszielen entspricht.

Bevor Sie beginnen, vergewissern Sie sich, dass Sie einen externen Schlüsselspeicher benötigen. Die meisten Kunden können KMS-Schlüssel verwenden, die durch AWS KMS Schlüsselmaterial unterstützt werden.

Anmerkung

Wenn Ihr externer Schlüsselspeicher-Proxy in Ihren externen Schlüsselmanager integriert ist, ist die Konnektivität möglicherweise vordefiniert. Hilfreiche Informationen finden Sie in der Dokumentation für Ihren externen Schlüsselmanager oder externen Schlüsselspeicher-Proxy.

Sie können die Konnektivitätsoption für Ihren externen Schlüsselspeicher-Proxy auch dann ändern, wenn der entsprechende Schlüsselspeicher aktiv ist. Dieser Vorgang muss jedoch sorgfältig geplant und ausgeführt werden, um Unterbrechungen zu minimieren, Fehler zu vermeiden und einen unterbrechungsfreien Zugriff auf die kryptografischen Schlüssel sicherzustellen, mit denen Ihre Daten verschlüsselt werden.

Konnektivität eines öffentlichen Endpunkts

AWS KMS stellt über das Internet über einen öffentlichen Endpunkt eine Verbindung zum externen Schlüsselspeicher-Proxy (XKS-Proxy) her.

Diese Konnektivitätsoption ist einfacher einzurichten und zu verwalten und eignet sich gut für einige Schlüsselverwaltungsmodelle. Sie entspricht jedoch möglicherweise nicht den Sicherheitsanforderungen einiger Organisationen.

Konnektivität eines öffentlichen Endpunkts

Voraussetzungen

Wenn Sie sich für die Konnektivität eines öffentlichen Endpunkts entscheiden, werden die folgenden Komponenten benötigt.

  • Ihr externer Schlüsselspeicher-Proxy muss unter einem öffentlich routingfähigen Endpunkt erreichbar sein.

  • Sie können einen öffentlichen Endpunkt für mehrere externe Schlüsselspeicher verwenden, sofern diese unterschiedliche Werte für den Proxy-URI-Pfad nutzen.

  • Sie können nicht denselben Endpunkt für einen externen Schlüsselspeicher mit öffentlicher Endpunktkonnektivität und einen externen Schlüsselspeicher mit VPC-Endpunktdienst-Konnektivität im selben verwenden AWS-Region, auch wenn sich die Schlüsselspeicher in unterschiedlichen AWS-Konten Ordnern befinden.

  • Sie benötigen ein TLS-Zertifikat von einer öffentlichen Zertifizierungsstelle, die für externe Schlüsselspeicher unterstützt wird. Eine Liste finden Sie unter Vertrauenswürdige Zertifizierungsstellen.

    Der Subject Common Name (CN) auf dem TLS-Zertifikat muss mit dem Domainnamen im Proxy-URI-Endpunkt für den externen Schlüsselspeicher-Proxy identisch sein. Ist der öffentliche Endpunkt beispielsweise https://myproxy.xks.example.com, muss der CN auf dem TLS-Zertifikat myproxy.xks.example.com oder *.xks.example.com lauten.

  • Stellen Sie sicher, dass alle Firewalls zwischen AWS KMS und dem externen Schlüsselspeicher-Proxy den Datenverkehr zu und von Port 443 auf dem Proxy zulassen. AWS KMS kommuniziert auf Port 443. Dieser Wert kann nicht konfiguriert werden.

Alle Anforderungen für einen externen Schlüsselspeicher finden Sie in den Informationen zum Erfüllen der Voraussetzungen.

Konnektivität eines VPC-Endpunktservice

AWS KMS stellt eine Verbindung zum externen Schlüsselspeicher-Proxy (XKS-Proxy) her, indem ein Schnittstellenendpunkt zu einem von Ihnen erstellten und konfigurierten Amazon VPC-Endpunktservice erstellt wird. Sie müssen den VPC-Endpunktservice erstellen und Ihre VPC mit Ihrem externen Schlüsselmanager verbinden.

Ihr Endpunktdienst kann jede der unterstützten network-to-Amazon VPC-Optionen für die Kommunikation verwenden, darunter AWS Direct Connect.

Einrichtung und Verwaltung dieser Konnektivitätsoption sind komplizierter. Es wird jedoch verwendet AWS PrivateLink, sodass Sie eine private Verbindung AWS KMS zu Ihrer Amazon VPC und Ihrem externen Schlüsselspeicher-Proxy herstellen können, ohne das öffentliche Internet zu nutzen.

Sie können Ihren externen Schlüsselspeicher-Proxy in Ihrer Amazon VPC lokalisieren.

Konnektivität eines VPC-Endpunktservice – XKS-Proxy in Ihrer VPC

Oder suchen Sie Ihren externen Schlüsselspeicher-Proxy außerhalb von AWS und verwenden Sie Ihren Amazon VPC-Endpunktservice nur für die sichere Kommunikation mit AWS KMS.

VPC-Endpunktdienstkonnektivität — XKS-Proxy außerhalb von AWS

Weitere Informationen:

  • Sehen Sie sich den Prozess zum Erstellen eines externen Schlüsselspeichers an, einschließlich der Informationen zum Erfüllen der Voraussetzungen. Er stellt sicher, dass Sie über alle benötigten Komponenten verfügen, wenn Sie einen externen Schlüsselspeicher erstellen.

  • Erfahren Sie, wie Sie den Zugriff auf Ihren externen Schlüsselspeicher steuern, einschließlich der Berechtigungen, die Administratoren und Benutzer von externen Schlüsselspeicheradministratoren benötigen.

  • Erfahren Sie mehr über die CloudWatch Amazon-Kennzahlen und -Dimensionen, die für externe Schlüsselgeschäfte AWS KMS aufgezeichnet werden. Wir empfehlen Ihnen dringend, Alarme zur Überwachung Ihres externen Schlüsselspeichers zu erstellen, damit Sie erste Anzeichen von Leistungs- und Betriebsproblemen erkennen.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.