Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wählen Sie eine Proxy-Konnektivitätsoption für externen Schlüsselspeicher
Bevor Sie Ihren externen Schlüsselspeicher erstellen, wählen Sie die Konnektivitätsoption, die bestimmt, wie mit Ihren externen Schlüsselspeicher-Komponenten AWS KMS kommuniziert wird. Der Rest des Planungsprozesses hängt davon ab, welche Konnektivitätsoption Sie auswählen.
Wenn Sie einen externen Schlüsselspeicher erstellen, müssen Sie festlegen, wie mit Ihrem externen Schlüsselspeicher-Proxy AWS KMS kommuniziert wird. Diese Auswahl bestimmt, welche Komponenten Sie benötigen und wie Sie sie konfigurieren. AWS KMS unterstützt die folgenden Konnektivitätsoptionen. Wählen Sie die Option aus, die Ihren Leistungs- und Sicherheitszielen entspricht.
Bevor Sie beginnen, vergewissern Sie sich, dass Sie einen externen Schlüsselspeicher benötigen. Die meisten Kunden können KMS Schlüssel verwenden, hinter denen AWS KMS Schlüsselmaterial steckt.
Anmerkung
Wenn Ihr externer Schlüsselspeicher-Proxy in Ihren externen Schlüsselmanager integriert ist, ist die Konnektivität möglicherweise vordefiniert. Hilfreiche Informationen finden Sie in der Dokumentation für Ihren externen Schlüsselmanager oder externen Schlüsselspeicher-Proxy.
Sie können die Konnektivitätsoption für Ihren externen Schlüsselspeicher-Proxy auch dann ändern, wenn der entsprechende Schlüsselspeicher aktiv ist. Dieser Vorgang muss jedoch sorgfältig geplant und ausgeführt werden, um Unterbrechungen zu minimieren, Fehler zu vermeiden und einen unterbrechungsfreien Zugriff auf die kryptografischen Schlüssel sicherzustellen, mit denen Ihre Daten verschlüsselt werden.
Konnektivität eines öffentlichen Endpunkts
AWS KMS stellt über das Internet über einen öffentlichen Endpunkt eine Verbindung zum externen XKS Schlüsselspeicher-Proxy (Proxy) her.
Diese Konnektivitätsoption ist einfacher einzurichten und zu verwalten und eignet sich gut für einige Schlüsselverwaltungsmodelle. Sie entspricht jedoch möglicherweise nicht den Sicherheitsanforderungen einiger Organisationen.
Voraussetzungen
Wenn Sie sich für die Konnektivität eines öffentlichen Endpunkts entscheiden, werden die folgenden Komponenten benötigt.
-
Ihr externer Schlüsselspeicher-Proxy muss unter einem öffentlich routingfähigen Endpunkt erreichbar sein.
-
Sie können denselben öffentlichen Endpunkt für mehrere externe Schlüsselspeicher verwenden, sofern sie unterschiedliche URIProxy-Pfadwerte verwenden.
-
Sie können nicht denselben Endpunkt für einen externen Schlüsselspeicher mit öffentlicher Endpunktkonnektivität und einen externen Schlüsselspeicher mit VPC Endpunktdienst-Konnektivität verwenden AWS-Region, auch wenn sich die Schlüsselspeicher in unterschiedlichen Ordnern befinden AWS-Konten.
-
Sie müssen ein TLS Zertifikat erwerben, das von einer öffentlichen Zertifizierungsstelle ausgestellt wurde, die für externe Schlüsselspeicher unterstützt wird. Eine Liste finden Sie unter Vertrauenswürdige Zertifizierungsstellen
. Der allgemeine Name (Subject Common Name, CN) auf dem TLS Zertifikat muss mit dem Domainnamen auf dem URIProxyendpunkt für den externen Schlüsselspeicher-Proxy übereinstimmen. Wenn der öffentliche Endpunkt beispielsweise lautet
https://myproxy.xks.example.com, muss der CN auf dem TLS Zertifikatmyproxy.xks.example.comoder lauten*.xks.example.com. TLS -
Stellen Sie sicher, dass alle Firewalls zwischen AWS KMS und dem externen Schlüsselspeicher-Proxy den Datenverkehr zu und von Port 443 auf dem Proxy zulassen. AWS KMS kommuniziert auf Port 443. Dieser Wert kann nicht konfiguriert werden.
Alle Anforderungen für einen externen Schlüsselspeicher finden Sie in den Informationen zum Erfüllen der Voraussetzungen.
VPCEndpunktdienst-Konnektivität
AWS KMS stellt eine Verbindung zum externen Schlüsselspeicher-Proxy (XKSProxy) her, indem ein Schnittstellenendpunkt zu einem VPC Amazon-Endpunktservice erstellt wird, den Sie erstellen und konfigurieren. Sie sind dafür verantwortlich, den VPC Endpunktservice zu erstellen und Ihren mit Ihrem externen Schlüsselmanager VPC zu verbinden.
Ihr Endpunktdienst kann alle unterstützten network-to-Amazon VPC Kommunikationsoptionen verwenden, darunter AWS Direct Connect.
Einrichtung und Verwaltung dieser Konnektivitätsoption sind komplizierter. Es wird jedoch verwendet AWS PrivateLink, sodass Sie eine AWS KMS private Verbindung zu Ihrem Amazon VPC und Ihrem externen Schlüsselspeicher-Proxy herstellen können, ohne das öffentliche Internet zu nutzen.
Sie können Ihren externen Schlüsselspeicher-Proxy in Ihrem Amazon findenVPC.
Oder suchen Sie Ihren externen Schlüsselspeicher-Proxy außerhalb von AWS und verwenden Sie Ihren VPC Amazon-Endpunktservice nur für die sichere Kommunikation mit AWS KMS.
Weitere Informationen:
-
Sehen Sie sich den Prozess zum Erstellen eines externen Schlüsselspeichers an, einschließlich der Informationen zum Erfüllen der Voraussetzungen. Er stellt sicher, dass Sie über alle benötigten Komponenten verfügen, wenn Sie einen externen Schlüsselspeicher erstellen.
-
Erfahren Sie, wie Sie den Zugriff auf Ihren externen Schlüsselspeicher steuern, einschließlich der Berechtigungen, die Administratoren und Benutzer von externen Schlüsselspeicheradministratoren benötigen.
-
Erfahren Sie mehr über die CloudWatch Amazon-Kennzahlen und -Dimensionen, die für externe Schlüsselgeschäfte AWS KMS aufgezeichnet werden. Wir empfehlen Ihnen dringend, Alarme zur Überwachung Ihres externen Schlüsselspeichers zu erstellen, damit Sie erste Anzeichen von Leistungs- und Betriebsproblemen erkennen.
