Erstellen Sie einen externen Schlüsselspeicher

Sie können in jeder AWS-Konto Region einen oder mehrere externe Schlüsselspeicher erstellen. Jeder externe Schlüsselspeicher muss einem externen Schlüsselmanager außerhalb von AWS und einem externen Schlüsselspeicher-Proxy (XKS-Proxy) zugeordnet sein, der die Kommunikation zwischen AWS KMS und Ihrem externen Schlüsselmanager vermittelt. Details hierzu finden Sie unter Wählen Sie eine Proxy-Konnektivitätsoption für externen Schlüsselspeicher. Bevor Sie beginnen, vergewissern Sie sich, dass Sie einen externen Schlüsselspeicher benötigen. Die meisten Kunden können KMS-Schlüssel verwenden, denen AWS KMS Schlüsselmaterial zugrunde liegt.

Tipp

Einige externe Schlüsselmanager bieten eine einfachere Methode zum Erstellen eines externen Schlüsselspeichers. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.

Vor dem Erstellen des externen Schlüsselspeichers müssen Sie einige Voraussetzungen erfüllen. Geben Sie während des Erstellungsprozesses die Eigenschaften Ihres externen Schlüsselspeichers an. Am wichtigsten ist, dass Sie angeben, ob Ihr externer Schlüsselspeicher einen öffentlichen Endpunkt oder einen VPC-Endpunktdienst AWS KMS verwendet, um eine Verbindung zu seinem externen Schlüsselspeicher-Proxy herzustellen. Sie geben auch die Verbindungsdetails an, einschließlich des URI-Endpunkts des Proxys und des Pfads innerhalb dieses Proxyendpunkts, über den API-Anfragen an den Proxy AWS KMS gesendet werden.

• Wenn Sie öffentliche Endpunktkonnektivität verwenden, stellen Sie sicher, dass über eine HTTPS-Verbindung mit Ihrem Proxy über das Internet kommuniziert werden AWS KMS kann. Dazu gehört die Konfiguration von TLS auf dem externen Schlüsselspeicher-Proxy und die Sicherstellung, dass alle Firewalls zwischen AWS KMS und dem Proxy Datenverkehr zu und von Port 443 auf dem Proxy zulassen. Beim Erstellen eines externen Schlüsselspeichers mit öffentlicher Endpunktkonnektivität wird die Verbindung AWS KMS getestet, indem eine Statusanfrage an den externen Schlüsselspeicher-Proxy gesendet wird. Mit diesem Test wird überprüft, ob der Endpunkt erreichbar ist und ob der externe Schlüsselspeicher-Proxy eine mit der Anmeldeinformation für die Proxy-Authentifizierung des externen Schlüsselspeichers signierte Anforderung akzeptiert. Wenn diese Testanforderung fehlschlägt, schlägt der Vorgang zum Erstellen des externen Schlüsselspeichers fehl.

• Wenn Sie die Konnektivität eines VPC-Endpunkt-Service verwenden, stellen Sie sicher, dass der Network Load Balancer, der private DNS-Name und der VPC-Endpunkt-Service korrekt konfiguriert und betriebsbereit sind. Wenn sich der externe Schlüsselspeicher-Proxy nicht in der VPC befindet, müssen Sie sicherstellen, dass der VPC-Endpunktdienst mit dem externen Schlüsselspeicher-Proxy kommunizieren kann. (AWS KMS testet die VPC-Endpunktdienst-Konnektivität, wenn Sie den externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbinden.)

Weitere Überlegungen:

• AWS KMS zeichnet CloudWatch Amazon-Metriken und -Dimensionen speziell für externe Schlüsselgeschäfte auf. Auf einigen dieser Metriken basierende Überwachungsdiagramme werden in der AWS KMS Konsole für jeden externen Schlüsselspeicher angezeigt. Es wird dringend empfohlen, diese Metriken zu verwenden, um Alarme zu erstellen, die Ihren externen Schlüsselspeicher überwachen. Diese Alarme warnen Sie vor ersten Anzeichen von Leistungs- und Betriebsproblemen, bevor sie auftreten. Detaillierte Anweisungen finden Sie unter Überwachen Sie externe Schlüsselspeicher.

• Externe Schlüsselspeicher unterliegen Ressourcenkontingenten. Die Verwendung von KMS-Schlüsseln in einem externen Schlüsselspeicher unterliegt Anforderungskontingenten. Überprüfen Sie diese Kontingente, bevor Sie Ihre externe Schlüsselspeicher-Implementierung entwerfen.

Anmerkung

Überprüfen Sie Ihre Konfiguration auf zirkuläre Abhängigkeiten, die möglicherweise verhindern, dass sie funktioniert.

Wenn Sie beispielsweise Ihren externen Schlüsselspeicher-Proxy mithilfe von AWS Ressourcen erstellen, stellen Sie sicher, dass für den Betrieb des Proxys nicht die Verfügbarkeit eines KMS-Schlüssels in einem externen Schlüsselspeicher erforderlich ist, auf den über diesen Proxy zugegriffen wird.

Alle neuen externen Schlüsselspeicher werden in einem getrennten Zustand erstellt. Bevor Sie KMS-Schlüssel für Ihren externen Schlüsselspeicher erstellen können, müssen Sie ihn mit seinem externen Schlüsselspeicher-Proxy verbinden. Bearbeiten Sie die Einstellungen Ihres externen Schlüsselspeichers, um die Eigenschaften Ihres externen Schlüsselspeichers zu ändern.

Erfüllen der Voraussetzungen

Bevor Sie einen externen Schlüsselspeicher erstellen, müssen Sie die erforderlichen Komponenten zusammenstellen, einschließlich des externen Schlüsselmanagers, den Sie zur Unterstützung des externen Schlüsselspeichers verwenden werden, und des externen Schlüsselspeicher-Proxys, der AWS KMS Anfragen in ein Format übersetzt, das Ihr externer Schlüsselmanager verstehen kann.

Die folgenden Komponenten sind für alle externen Schlüsselspeicher erforderlich. Zusätzlich zu diesen Komponenten müssen Sie die Komponenten bereitstellen, die die von Ihnen gewählte Option der externen Schlüsselspeicher-Proxy-Konnektivität unterstützen.

Tipp

Ihr externer Schlüsselmanager enthält möglicherweise einige dieser Komponenten, oder sie sind möglicherweise für Sie konfiguriert. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.

Wenn Sie Ihren externen Schlüsselspeicher in der AWS KMS Konsole erstellen, haben Sie die Möglichkeit, eine JSON-basierte Proxykonfigurationsdatei hochzuladen, die den Proxy-URI-Pfadund die Anmeldeinformationen für die Proxyauthentifizierung angibt. Einige externe Schlüsselspeicher-Proxys generieren diese Datei für Sie. Einzelheiten finden Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager.

Externer Schlüsselmanager

Jeder externe Schlüsselspeicher benötigt mindestens eine externe Schlüsselmanager-Instance. Dies kann ein physisches oder virtuelles Hardwaresicherheitsmodul (HSM) oder eine Schlüsselverwaltungssoftware sein.

Sie können einen einzelnen Schlüsselmanager verwenden, wir empfehlen jedoch aus Redundanzgründen mindestens zwei verwandte Schlüsselmanager-Instances, die sich kryptografische Schlüssel teilen. Der externe Schlüsselspeicher erfordert keine ausschließliche Verwendung des externen Schlüsselmanagers. Der externe Schlüsselmanager muss jedoch in der Lage sein, die erwartete Häufigkeit von Verschlüsselungs- und Entschlüsselungsanforderungen von AWS Diensten zu verarbeiten, die KMS-Schlüssel im externen Schlüsselspeicher verwenden, um Ihre Ressourcen zu schützen. Ihr externer Schlüsselmanager sollte so konfiguriert sein, dass er bis zu 1 800 Anfragen pro Sekunde verarbeitet und innerhalb des Zeitlimits von 250 Millisekunden für jede Anforderung reagiert. Es wird empfohlen, den externen Schlüsselmanager in der Nähe von zu platzieren, AWS-Region sodass die Network Round-Trip Time (RTT) 35 Millisekunden oder weniger beträgt.

Wenn Ihr externer Schlüsselspeicher-Proxy dies zulässt, können Sie den externen Schlüsselmanager ändern, den Sie Ihrem externen Schlüsselspeicher-Proxy zuordnen. Der neue externe Schlüsselmanager muss jedoch ein Backup oder ein Snapshot mit demselben Schlüsselmaterial sein. Wenn der externe Schlüssel, den Sie einem KMS-Schlüssel zuordnen, für Ihren externen Schlüsselspeicher-Proxy nicht mehr verfügbar ist, AWS KMS kann der mit dem KMS-Schlüssel verschlüsselte Chiffretext nicht entschlüsselt werden.

Der externe Schlüsselmanager muss für den externen Schlüsselspeicher-Proxy zugänglich sein. Wenn in der GetHealthStatusAntwort des Proxys angegeben wird, dass alle externen Schlüsselmanager-Instanzen vorhanden sindUnavailable, schlagen alle Versuche, einen externen Schlüsselspeicher zu erstellen, mit einem fehl. XksProxyUriUnreachableException

Externer Schlüsselspeicher-Proxy

Sie müssen einen externen Schlüsselspeicher-Proxy (XKS-Proxy) angeben, der den Designanforderungen in der API-Spezifikation von AWS KMS für externe Schlüsselspeicher-Proxys entspricht. Sie können einen externen Schlüsselspeicher-Proxy entwickeln oder kaufen oder einen externen Schlüsselspeicher-Proxy verwenden, der von Ihrem externen Schlüsselmanager bereitgestellt oder in diesen integriert ist. AWS KMS empfiehlt, Ihren externen Schlüsselspeicher-Proxy so zu konfigurieren, dass er bis zu 1800 Anfragen pro Sekunde verarbeitet und innerhalb des Zeitlimits von 250 Millisekunden für jede Anfrage antwortet. Wir empfehlen, dass Sie den externen Schlüsselmanager in der Nähe von platzieren, AWS-Region sodass die Network Round-Trip Time (RTT) 35 Millisekunden oder weniger beträgt.

Sie können einen externen Schlüsselspeicher-Proxy für mehr als einen externen Schlüsselspeicher verwenden, aber jeder externe Schlüsselspeicher muss für seine Anforderungen einen eindeutigen URI-Endpunkt und -Pfad innerhalb des externen Schlüsselspeicher-Proxys haben.

Wenn Sie die Konnektivität eines VPC-Endpunkt-Service verwenden, können Sie Ihren externen Schlüsselspeicher-Proxy in Ihrer Amazon VPC lokalisieren, dies ist jedoch nicht erforderlich. Sie können Ihren Proxy außerhalb von AWS, z. B. in Ihrem privaten Rechenzentrum, lokalisieren und den VPC-Endpunktdienst nur für die Kommunikation mit dem Proxy verwenden.

Anmeldeinformationen für die Proxy-Authentifizierung

Um einen externen Schlüsselspeicher zu erstellen, müssen Sie Ihre Anmeldeinformationen für die Proxy-Authentifizierung für den externen Schlüsselspeicher (XksProxyAuthenticationCredential) angeben.

Sie müssen einen Authentifizierungsnachweis (XksProxyAuthenticationCredential) für Ihren externen AWS KMS Schlüsselspeicher-Proxy einrichten. AWS KMS authentifiziert sich bei Ihrem Proxy, indem es seine Anfragen mithilfe des Signature Version 4-Prozesses (Sigv4) mit den Anmeldeinformationen für die Proxyauthentifizierung des externen Schlüsselspeichers signiert. Sie geben die Anmeldeinformationen für die Authentifizierung an, wenn Sie Ihren externen Schlüsselspeicher erstellen, und Sie können sie jederzeit ändern. Wenn Ihr Proxy Ihre Anmeldeinformationen rotiert, müssen Sie die Anmeldeinformationswerte für Ihren externen Schlüsselspeicher aktualisieren.

Die Anmeldeinformationen für die Proxy-Authentifizierung bestehen aus zwei Teilen. Sie müssen beide Teile für Ihren externen Schlüsselspeicher bereitstellen.

• Zugriffsschlüssel-ID: Identifiziert den geheimen Zugriffsschlüssel. Sie können diese ID in Klartext angeben.

• Geheimer Zugriffsschlüssel: Der geheime Teil der Anmeldeinformationen. AWS KMS verschlüsselt den geheimen Zugriffsschlüssel in den Anmeldeinformationen, bevor er gespeichert wird.

Die SigV4-Anmeldeinformationen, die zum Signieren von Anfragen an den externen Schlüsselspeicher-Proxy AWS KMS verwendet werden, haben nichts mit SigV4-Anmeldeinformationen zu tun, die mit Prinzipalen in Ihren Konten verknüpft sind. AWS Identity and Access Management AWS Verwenden Sie keine IAM-SigV4-Anmeldeinformationen für Ihren externen Schlüsselspeicher-Proxy wieder.

Proxy-Konnektivität

Sie müssen die Proxy-Konnektivitätsoption des externen Schlüsselspeichers angeben (XksProxyConnectivity), um einen externen Schlüsselspeicher zu erstellen.

AWS KMS kann über einen öffentlichen Endpunkt oder einen Amazon Virtual Private Cloud (Amazon VPC) -Endpunktservice mit Ihrem externen Schlüsselspeicher-Proxy kommunizieren. Ein öffentlicher Endpunkt ist zwar einfacher zu konfigurieren und zu verwalten, erfüllt jedoch möglicherweise nicht die Sicherheitsanforderungen für jede Installation. Wenn Sie sich für die Option der Konnektivität des Amazon VPC-Endpunkt-Service entscheiden, müssen Sie die erforderlichen Komponenten erstellen und verwalten, einschließlich einer Amazon VPC mit mindestens zwei Subnetzen in zwei verschiedenen Availability Zones, einem VPC-Endpunkt-Service mit einem Network Load Balancer und einer Zielgruppe sowie einem privaten DNS-Namen für den VPC-Endpunkt-Service.

Für Ihren externen Schlüsselspeicher können Sie die Proxy-Konnektivitätsoption ändern. Sie müssen jedoch sicherstellen, dass das mit den KMS-Schlüsseln verbundene Schlüsselmaterial in Ihrem externen Schlüsselspeicher weiterhin verfügbar ist. Andernfalls AWS KMS kann kein mit diesen KMS-Schlüsseln verschlüsselter Chiffretext entschlüsselt werden.

Hilfe bei der Entscheidung, welche Proxy-Konnektivitätsoption für Ihren externen Schlüsselspeicher am besten geeignet ist, finden Sie unter Wählen Sie eine Proxy-Konnektivitätsoption für externen Schlüsselspeicher. Hilfe beim Erstellen und Konfigurieren der Konnektivität eines VPC-Endpunkt-Service finden Sie unter VPC-Endpunktdienstkonnektivität konfigurieren.

Proxy-URI-Endpunkt

Um einen externen Schlüsselspeicher zu erstellen, müssen Sie den Endpunkt (XksProxyUriEndpoint) angeben, über den Anfragen an AWS KMS den externen Schlüsselspeicher-Proxy gesendet werden.

Das Protokoll muss HTTPS sein. AWS KMS kommuniziert auf Port 443. Geben Sie den Port nicht im Wert des Proxy-URI-Endpunkts an.

• Konnektivität eines öffentlichen Endpunkts: Geben Sie den öffentlich verfügbaren Endpunkt für Ihren externen Schlüsselspeicher-Proxy an. Dieser Endpunkt muss erreichbar sein, bevor Sie Ihren externen Schlüsselspeicher erstellen.

• Konnektivität eines VPC-Endpunkt-Service: Geben Sie https:// gefolgt von dem privaten DNS-Namen des VPC-Endpunkt-Service an.

Das TLS-Serverzertifikat, das auf dem externen Schlüsselspeicher-Proxy konfiguriert ist, muss mit dem Domainnamen im URI-Endpunkt des externen Schlüsselspeicher-Proxy übereinstimmen und von einer Zertifizierungsstelle ausgestellt sein, die für externe Schlüsselspeicher unterstützt wird. Eine Liste finden Sie unter Vertrauenswürdige Zertifizierungsstellen. Ihre Zertifizierungsstelle verlangt einen Nachweis über den Besitz der Domain, bevor sie das TLS-Zertifikat ausstellt.

Der Subject Common Name (CN) auf dem TLS-Zertifikat muss mit dem privaten DNS-Namen übereinstimmen. Wenn der private DNS-Name beispielsweise myproxy-private.xks.example.com lautet, muss der CN auf dem TLS-Zertifikat myproxy-private.xks.example.com oder *.xks.example.com lauten.

Sie können Ihren Proxy-URI-Endpunkt ändern, aber stellen Sie sicher, dass der externe Schlüsselspeicher-Proxy Zugriff auf das Schlüsselmaterial hat, das mit den KMS-Schlüsseln in Ihrem externen Schlüsselspeicher verbunden ist. Andernfalls AWS KMS kann kein mit diesen KMS-Schlüsseln verschlüsselter Chiffretext entschlüsselt werden.

Anforderungen an die Eindeutigkeit

• Der kombinierte Wert für den Proxy-URI-Endpunkt (XksProxyUriEndpoint) und den Proxy-URI-Pfad (XksProxyUriPath) muss in dem AWS-Konto und der Region eindeutig sein.

• Externe Schlüsselspeicher mit der Konnektivität eines öffentlichen Endpunkts können denselben Proxy-URI-Endpunkt verwenden, sofern sie unterschiedliche Proxy-URI-Pfadwerte haben.

• Ein externer Schlüsselspeicher mit öffentlicher Endpunktkonnektivität kann nicht denselben Proxy-URI-Endpunktwert verwenden wie jeder externe Schlüsselspeicher mit VPC-Endpunktdienstkonnektivität in demselben AWS-Region, auch wenn sich die Schlüsselspeicher in unterschiedlichen AWS-Konten Speichern befinden.

• Jeder externe Schlüsselspeicher mit der Konnektivität eines VPC-Endpunkts muss seinen eigenen privaten DNS-Namen haben. Der Proxy-URI-Endpunkt (privater DNS-Name) muss in der Region AWS-Konto und eindeutig sein.

Proxy-URI-Pfad

Um einen externen Schlüsselspeicher zu erstellen, müssen Sie den Basispfad in Ihrem externen Schlüsselspeicher-Proxy zum erforderlichen Proxy angeben APIs. Der Wert muss mit/kms/xks/v1 beginnen / und enden, wobei v1 es sich um die Version der AWS KMS API für den externen Schlüsselspeicher-Proxy handelt. Dieser Pfad kann ein optionales Präfix zwischen den erforderlichen Elementen enthalten, z. B. /example-prefix/kms/xks/v1. Diesen Wert finden Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy.

AWS KMS sendet Proxyanfragen an die Adresse, die durch die Verkettung des Proxy-URI-Endpunkts und des Proxy-URI-Pfads angegeben wurde. Wenn beispielsweise der Proxy-URI-Endpunkt https://myproxy.xks.example.com und der Proxy-URI-Pfad sind/kms/xks/v1, AWS KMS sendet die Proxy-API-Anfragen an. https://myproxy.xks.example.com/kms/xks/v1

Sie können Ihren Proxy-URI-Pfad ändern, aber stellen Sie sicher, dass der externe Schlüsselspeicher-Proxy Zugriff auf das Schlüsselmaterial hat, das mit den KMS-Schlüsseln in Ihrem externen Schlüsselspeicher verbunden ist. Andernfalls AWS KMS kann kein mit diesen KMS-Schlüsseln verschlüsselter Chiffretext entschlüsselt werden.

Anforderungen an die Eindeutigkeit

• Der kombinierte Wert für den Proxy-URI-Endpunkt (XksProxyUriEndpoint) und den Proxy-URI-Pfad (XksProxyUriPath) muss in dem AWS-Konto und der Region eindeutig sein.

VPC-Endpunktservice

Gibt den Namen des Amazon VPC-Endpunkt-Services an, der für die Kommunikation mit dem externen Schlüsselspeicher-Proxy verwendet wird. Diese Komponente ist nur für externe Schlüsselspeicher erforderlich, die die Konnektivität eines VPC-Endpunkt-Service verwenden. Hilfe zum Einrichten und Konfigurieren Ihres VPC-Endpunkt-Services für einen externen Schlüsselspeicher finden Sie unter VPC-Endpunktdienstkonnektivität konfigurieren.

Der VPC-Endpunkt-Service muss über die folgenden Eigenschaften verfügen:

• Der VPC-Endpunktdienst muss sich in derselben AWS-Konto Region wie der externe Schlüsselspeicher befinden.

• Er muss über einen Network Load Balancer (NLB) verfügen, der mit mindestens zwei Subnetzen verbunden ist, die jeweils in einer anderen Availability Zone liegen.

• Die Liste der zugelassenen Prinzipale für den VPC-Endpunktdienst muss den AWS KMS Dienstprinzipal für die Region enthalten:cks.kms.<region>.amazonaws.com, z. B. cks.kms.us-east-1.amazonaws.com

• Er darf keine Annahme von Verbindungsanforderungen verlangen.

• Er muss einen privaten DNS-Namen innerhalb einer öffentlichen Domain höherer Ebene haben. Sie könnten beispielsweise den privaten DNS-Namen „myproxy-private.xks.example.com“ in der öffentlichen Domain xks.example.com haben.

  Der private DNS-Name für einen externen Schlüsselspeicher mit der Konnektivität eines VPC-Endpunkt-Service muss in seiner AWS-Region eindeutig sein.

• Der Domain-Verifizierungsstatus der privaten DNS-Namensdomain muss verified lauten.

• Das auf dem externen Schlüsselspeicher-Proxy konfigurierte TLS-Serverzertifikat muss den privaten DNS-Hostnamen angeben, unter dem der Endpunkt erreichbar ist.

Anforderungen an die Eindeutigkeit

• Externe Schlüsselspeicher mit der Konnektivität eines VPC-Endpunkts können sich eine Amazon VPC teilen, aber jeder externe Schlüsselspeicher muss seinen eigenen VPC-Endpunkt-Service und privaten DNS-Namen haben.

Proxy-Konfigurationsdatei

Eine Proxy-Konfigurationsdatei ist eine optionale JSON-basierte Datei, die Werte für den Proxy-URI-Pfad und die Eigenschaften der Proxy-Authentifizierungsanmeldeinformation Ihres externen Schlüsselspeichers enthält. Beim Erstellen oder Bearbeiten eines externen Schlüsselspeichers in der AWS KMS -Konsole können Sie eine Proxy-Konfigurationsdatei hochladen, um Konfigurationswerte für Ihren externen Schlüsselspeicher bereitzustellen. Durch die Verwendung dieser Datei werden Tipp- und Einfügefehler verhindert und es wird sichergestellt, dass die Werte in Ihrem externen Schlüsselspeicher mit den Werten in Ihrem externen Schlüsselspeicher-Proxy übereinstimmen.

Die Proxy-Konfigurationsdateien werden vom externen Schlüsselspeicher-Proxy generiert. Ob Ihr externer Schlüsselspeicher-Proxy eine Proxy-Konfigurationsdatei anbietet, können Sie der Dokumentation Ihres externen Schlüsselspeicher-Proxys entnehmen.

Im Folgenden finden Sie ein Beispiel für eine gültige Proxy-Konfigurationsdatei mit fiktiven Werten.

{
  "XksProxyUriPath": "/example-prefix/kms/xks/v1",
  "XksProxyAuthenticationCredential": {
    "AccessKeyId": "ABCDE12345670EXAMPLE",
    "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
  }
}

Sie können eine Proxy-Konfigurationsdatei nur hochladen, wenn Sie einen externen Schlüsselspeicher in der AWS KMS Konsole erstellen oder bearbeiten. Sie können sie nicht mit den UpdateCustomKeyStoreOperationen CreateCustomKeyStoreoder verwenden, aber Sie können die Werte in der Proxykonfigurationsdatei verwenden, um sicherzustellen, dass Ihre Parameterwerte korrekt sind.

Erstellen Sie einen neuen externen Schlüsselspeicher

Sobald Sie die erforderlichen Voraussetzungen zusammengestellt haben, können Sie in der AWS KMS Konsole oder mithilfe des CreateCustomKeyStoreVorgangs einen neuen externen Schlüsselspeicher erstellen.

Mithilfe der AWS KMS Konsole

Bevor Sie einen externen Schlüsselspeicher erstellen, wählen Sie Ihren Proxy-Konnektivitätstyp und stellen Sie sicher, dass Sie alle erforderlichen Komponenten erstellt und konfiguriert haben. Wenn Sie Hilfe bei der Suche nach einem der erforderlichen Werte benötigen, ziehen Sie die Dokumentation für Ihren externen Schlüsselspeicher-Proxy oder Ihre Schlüsselverwaltungssoftware zu Rate.

Anmerkung

Wenn Sie in der einen externen Schlüsselspeicher erstellen AWS Management Console, können Sie eine JSON-basierte Proxykonfigurationsdatei mit Werten für den Proxy-URI-Pfad und die Anmeldeinformationen für die Proxyauthentifizierung hochladen. Einige Proxys generieren diese Datei für Sie. Sie ist nicht erforderlich.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter /kms. https://console.aws.amazon.com

2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

3. Wählen Sie im Navigationsbereich Custom key stores (Benutzerdefinierte Schlüsselspeicher), External key stores (Externe Schlüsselspeicher) aus.

4. Wählen Sie Create external key store (Erstellen eines externen Schlüsselspeichers) aus.

5. Geben Sie einen Anzeigenamen für den externen Schlüsselspeicher ein. Der Name muss unter allen externen Schlüsselspeichern in Ihrem Konto eindeutig sein.

   Wichtig

   Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.

6. Wählen Sie Ihren Proxy-Konnektivitätstyp aus.

   Die von Ihnen gewählte Proxy-Konnektivität bestimmt die für Ihren externen Schlüsselspeicher-Proxy erforderlichen Komponenten. Hilfe bei dieser Auswahl finden Sie unter Wählen Sie eine Proxy-Konnektivitätsoption für externen Schlüsselspeicher.

7. Wählen Sie den Namen des VPC-Endpunkt-Service für diesen externen Schlüsselspeicher aus oder geben Sie ihn ein. Dieser Schritt wird nur angezeigt, wenn der Proxy-Konnektivitätstyp des externen Schlüsselspeichers VPC-Endpunkt-Service ist.

   Der VPC-Endpunktdienst und sein VPCs müssen die Anforderungen für einen externen Schlüsselspeicher erfüllen. Details hierzu finden Sie unter Erfüllen der Voraussetzungen.

8. Geben Sie Ihren Proxy-URI-Endpunkt ein. Das Protokoll muss HTTPS sein. AWS KMS kommuniziert auf Port 443. Geben Sie den Port nicht im Wert des Proxy-URI-Endpunkts an.

   Wenn der VPC-Endpunktdienst AWS KMS erkannt wird, den Sie im vorherigen Schritt angegeben haben, füllt er dieses Feld für Sie aus.

   Für die Konnektivität eines öffentlichen Endpunkts geben Sie einen öffentlich verfügbaren Endpunkt-URI ein. Für die Konnektivität des VPC-Endpunkts geben Sie https:// gefolgt vom privaten DNS-Namen des VPC-Endpunkt-Service ein.

9. Um die Werte für das Präfix des Proxy-URI-Pfads und die Proxy-Authentifizierungsanmeldeinformation einzugeben, laden Sie eine Proxy-Konfigurationsdatei hoch oder geben Sie die Werte manuell ein.

   • Wenn Sie über eine optionale Proxy-Konfigurationsdatei verfügen, die Werte für den Proxy-URI-Pfad und die Proxy-Authentifizierungsanmeldeinformation enthält, wählen Sie Upload configuration file (Konfigurationsdatei hochladen) aus. Folgen Sie den Schritten zum Hochladen der Datei.

     Wenn die Datei hochgeladen ist, zeigt die Konsole die Werte aus der Datei in bearbeitbaren Feldern an. Sie können die Werte jetzt ändern oder diese Werte bearbeiten, nachdem der externe Schlüsselspeicher erstellt wurde.

     Wählen Sie Show secret access key (Geheimen Zugriffsschlüssel anzeigen) aus, um den Wert des geheimen Zugriffsschlüssels anzuzeigen.

   • Wenn Sie über keine Proxy-Konfigurationsdatei verfügen, können Sie den Proxy-URI-Pfad und die Werte für die Proxy-Authentifizierungsanmeldeinformation manuell eingeben.

     1. Wenn Sie nicht über eine Proxy-Konfigurationsdatei verfügen, können Sie den Proxy-URI manuell eingeben. Die Konsole stellt den erforderlichen Wert/kms/xks/v1 bereit.

        Wenn Ihr Proxy-URI-Pfad ein optionales Präfix enthält, wie z. B. das example-prefix in /example-prefix/kms/xks/v1, geben Sie das Präfix in das Feld Proxy URI path prefix (Proxy-URI-Pfadpräfix) ein. Andernfalls lassen Sie das Feld leer.

     2. Wenn Sie nicht über eine Proxy-Konfigurationsdatei verfügen, können Sie die Proxy-Authentifizierungsanmeldeinformation manuell eingeben. Sowohl die Zugriffsschlüssel-ID als auch der geheime Zugriffsschlüssel sind erforderlich.

        • Geben Sie in Proxy credential: Access key ID (Proxy-Anmeldeinformationen: Zugriffsschlüssel-ID) die Zugriffsschlüssel-ID der Proxy-Authentifizierungsanmeldeinformation ein. Die Zugriffsschlüssel-ID identifiziert den geheimen Zugriffsschlüssel.

        • Geben Sie in Proxy credential: Secret access key (Proxy-Anmeldeinformationen: Geheimer Zugriffsschlüssel) den geheimen Zugriffsschlüssel der Proxy-Authentifizierungsanmeldeinformation ein.

        Wählen Sie Show secret access key (Geheimen Zugriffsschlüssel anzeigen) aus, um den Wert des geheimen Zugriffsschlüssels anzuzeigen.

        Mit diesem Verfahren wird die Authentifizierungsanmeldeinformation, die Sie auf Ihrem externen Schlüsselspeicher-Proxy eingerichtet haben, weder festgelegt noch geändert. Es verknüpft diese Werte lediglich mit Ihrem externen Schlüsselspeicher. Informationen zum Einrichten, Ändern und Rotieren der Proxy-Authentifizierungsanmeldeinformation finden Sie in der Dokumentation zu Ihrem externen Schlüsselspeicher-Proxy oder Ihrer Schlüsselverwaltungssoftware.

        Wenn sich die Proxy-Authentifizierungsanmeldeinformation ändert, bearbeiten Sie die Einstellungen für die Anmeldeinformation für Ihren externen Schlüsselspeicher.

10. Wählen Sie Create external key store (Erstellen eines externen Schlüsselspeichers) aus.

Wenn der Vorgang erfolgreich war, wird der neue externe Schlüsselspeicher in der Liste der externen Schlüsselspeicher im Konto und in der Region angezeigt. Bei nicht erfolgreicher Ausführung wird eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt CreateKey Fehler für den externen Schlüssel.

Nächster Schritt: Neue externe Schlüsselspeicher werden nicht automatisch verbunden. Bevor Sie AWS KMS keys in Ihrem externen Schlüsselspeicher etwas erstellen können, müssen Sie den externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbinden.

Verwenden der AWS KMS API

Sie können den CreateCustomKeyStoreVorgang verwenden, um einen neuen externen Schlüsselspeicher zu erstellen. Hilfe bei der Suche nach den Werten für die erforderlichen Parameter finden Sie in der Dokumentation zu Ihrem externen Schlüsselspeicher-Proxy oder Ihrer Schlüsselverwaltungssoftware.

Tipp

Sie können keine Proxy-Konfigurationsdatei hochladen, wenn Sie den CreateCustomKeyStore-Vorgang verwenden. Sie können jedoch die Werte in der Proxy-Konfigurationsdatei verwenden, um sicherzustellen, dass Ihre Parameterwerte korrekt sind.

Zum Erstellen eines externen Schlüsselspeichers sind für den CreateCustomKeyStore-Vorgang die folgenden Parameterwerte erforderlich:

• CustomKeyStoreName: Ein Anzeigename für den externen Schlüsselspeicher, der im Konto eindeutig ist.

  Wichtig

  Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.

• CustomKeyStoreType: Geben Sie EXTERNAL_KEY_STORE an.

• XksProxyConnectivity: Geben Sie PUBLIC_ENDPOINT oder VPC_ENDPOINT_SERVICE an.

• XksProxyAuthenticationCredential: Geben Sie sowohl die Zugriffsschlüssel-ID als auch den geheimen Zugriffsschlüssel an.

• XksProxyUriEndpoint— Der Endpunkt, der für die Kommunikation mit Ihrem externen Schlüsselspeicher-Proxy AWS KMS verwendet wird.

• XksProxyUriPath— Der Pfad innerhalb des Proxys zum Proxy APIs.

• XksProxyVpcEndpointServiceName: Nur erforderlich, wenn Ihr XksProxyConnectivity-Wert VPC_ENDPOINT_SERVICE ist.

Anmerkung

Wenn Sie AWS CLI Version 1.0 verwenden, führen Sie den folgenden Befehl aus, bevor Sie einen Parameter mit einem HTTP- oder HTTPS-Wert angeben, z. B. den XksProxyUriEndpoint Parameter.

aws configure set cli_follow_urlparam false

Andernfalls ersetzt AWS CLI Version 1.0 den Parameterwert durch den Inhalt, der an dieser URI-Adresse gefunden wurde, was den folgenden Fehler verursacht:

Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404

In den folgenden Beispielen werden fiktive Werte verwendet. Bevor Sie den Befehl ausführen, ersetzen Sie sie durch gültige Werte für Ihren externen Schlüsselspeicher.

Erstellen Sie einen externen Schlüsselspeicher mit der Konnektivität eines öffentlichen Endpunkts.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStorePublic \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity PUBLIC_ENDPOINT \
        --xks-proxy-uri-endpoint https://myproxy.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>  

Erstellen Sie einen externen Schlüsselspeicher mit der Konnektivität eines VPC-Endpunkt-Service.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStoreVPC \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
        --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
        --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

Bei einer erfolgreichen Produktion gibt CreateCustomKeyStore die ID des benutzerdefinierten Schlüsselspeichers zurück, wie in der folgenden Beispielantwort dargestellt.

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

Wenn die Produktion fehlschlägt, korrigieren Sie den in der Ausnahme angegebenen Fehler und versuchen Sie es erneut. Weitere Informationen finden Sie unter Fehlerbehebung bei externen Schlüsselspeichern.

Nächster Schritt: Um den externen Schlüsselspeicher zu verwenden, verbinden Sie ihn mit dem externen Schlüsselspeicher-Proxy.