Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen Sie einen externen Schlüsselspeicher
Sie können in jeder AWS-Konto Region einen oder mehrere externe Schlüsselspeicher erstellen. Jeder externe Schlüsselspeicher muss einem externen Schlüsselmanager außerhalb von AWS und einem externen Schlüsselspeicher-Proxy (XKSProxy) zugeordnet sein, der die Kommunikation zwischen AWS KMS und Ihrem externen Schlüsselmanager vermittelt. Details hierzu finden Sie unter Wählen Sie eine Proxy-Konnektivitätsoption für externen Schlüsselspeicher. Bevor Sie beginnen, vergewissern Sie sich, dass Sie einen externen Schlüsselspeicher benötigen. Die meisten Kunden können KMS Schlüssel verwenden, hinter denen AWS KMS Schlüsselmaterial steht.
Tipp
Einige externe Schlüsselmanager bieten eine einfachere Methode zum Erstellen eines externen Schlüsselspeichers. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.
Vor dem Erstellen des externen Schlüsselspeichers müssen Sie einige Voraussetzungen erfüllen. Geben Sie während des Erstellungsprozesses die Eigenschaften Ihres externen Schlüsselspeichers an. Am wichtigsten ist, dass Sie angeben, ob Ihr externer Schlüsselspeicher einen öffentlichen Endpunkt oder einen VPCEndpunktdienst AWS KMS verwendet, um eine Verbindung zu seinem externen Schlüsselspeicher-Proxy herzustellen. Sie geben auch die Verbindungsdetails an, einschließlich des URI Endpunkts des Proxys und des Pfads innerhalb dieses Proxyendpunkts, von dem API Anfragen AWS KMS an den Proxy gesendet werden.
-
Wenn Sie öffentliche Endpunktkonnektivität verwenden, stellen Sie sicher, dass über eine HTTPS Verbindung mit Ihrem Proxy über das Internet kommuniziert werden AWS KMS kann. Dazu gehört die Konfiguration TLS auf dem externen Schlüsselspeicher-Proxy und die Sicherstellung, dass alle Firewalls zwischen AWS KMS und dem Proxy den Datenverkehr zu und von Port 443 auf dem Proxy zulassen. Beim Erstellen eines externen Schlüsselspeichers mit öffentlicher Endpunktkonnektivität wird die Verbindung AWS KMS getestet, indem eine Statusanfrage an den externen Schlüsselspeicher-Proxy gesendet wird. Mit diesem Test wird überprüft, ob der Endpunkt erreichbar ist und ob der externe Schlüsselspeicher-Proxy eine mit der Anmeldeinformation für die Proxy-Authentifizierung des externen Schlüsselspeichers signierte Anforderung akzeptiert. Wenn diese Testanforderung fehlschlägt, schlägt der Vorgang zum Erstellen des externen Schlüsselspeichers fehl.
-
Wenn Sie VPC Endpoint Service-Konnektivität verwenden, stellen Sie sicher, dass der Network Load Balancer, der private DNS Name und der VPC Endpoint Service korrekt konfiguriert sind und betriebsbereit sind. Wenn sich der externe Schlüsselspeicher-Proxy nicht im befindetVPC, müssen Sie sicherstellen, dass der VPC Endpunktdienst mit dem externen Schlüsselspeicher-Proxy kommunizieren kann. (AWS KMS testet die Konnektivität des VPC Endpunktdienstes, wenn Sie den externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbinden.)
Weitere Überlegungen:
-
AWS KMS zeichnet CloudWatch Amazon-Metriken und -Dimensionen speziell für externe Schlüsselgeschäfte auf. Auf einigen dieser Metriken basierende Überwachungsdiagramme werden in der AWS KMS Konsole für jeden externen Schlüsselspeicher angezeigt. Es wird dringend empfohlen, diese Metriken zu verwenden, um Alarme zu erstellen, die Ihren externen Schlüsselspeicher überwachen. Diese Alarme warnen Sie vor ersten Anzeichen von Leistungs- und Betriebsproblemen, bevor sie auftreten. Detaillierte Anweisungen finden Sie unter Überwachen Sie externe Schlüsselspeicher.
-
Externe Schlüsselspeicher unterliegen Ressourcenkontingenten. Für die Verwendung von KMS Schlüsseln in einem externen Schlüsselspeicher gelten Kontingente für Anfragen. Überprüfen Sie diese Kontingente, bevor Sie Ihre externe Schlüsselspeicher-Implementierung entwerfen.
Anmerkung
Überprüfen Sie Ihre Konfiguration auf zirkuläre Abhängigkeiten, die möglicherweise verhindern, dass sie funktioniert.
Wenn Sie beispielsweise Ihren externen Schlüsselspeicher-Proxy mithilfe von AWS Ressourcen erstellen, stellen Sie sicher, dass für den Betrieb des Proxys nicht die Verfügbarkeit eines KMS Schlüssels in einem externen Schlüsselspeicher erforderlich ist, auf den über diesen Proxy zugegriffen wird.
Alle neuen externen Schlüsselspeicher werden in einem getrennten Zustand erstellt. Bevor Sie KMS Schlüssel in Ihrem externen Schlüsselspeicher erstellen können, müssen Sie ihn mit seinem externen Schlüsselspeicher-Proxy verbinden. Bearbeiten Sie die Einstellungen Ihres externen Schlüsselspeichers, um die Eigenschaften Ihres externen Schlüsselspeichers zu ändern.
Erfüllen der Voraussetzungen
Bevor Sie einen externen Schlüsselspeicher erstellen, müssen Sie die erforderlichen Komponenten zusammenstellen, einschließlich des externen Schlüsselmanagers, den Sie zur Unterstützung des externen Schlüsselspeichers verwenden werden, und des externen Schlüsselspeicher-Proxys, der AWS KMS Anfragen in ein Format übersetzt, das Ihr externer Schlüsselmanager verstehen kann.
Die folgenden Komponenten sind für alle externen Schlüsselspeicher erforderlich. Zusätzlich zu diesen Komponenten müssen Sie die Komponenten bereitstellen, die die von Ihnen gewählte Option der externen Schlüsselspeicher-Proxy-Konnektivität unterstützen.
Tipp
Ihr externer Schlüsselmanager enthält möglicherweise einige dieser Komponenten, oder sie sind möglicherweise für Sie konfiguriert. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.
Wenn Sie Ihren externen Schlüsselspeicher in der AWS KMS Konsole erstellen, haben Sie die Möglichkeit, eine JSON basierte Proxykonfigurationsdatei hochzuladen, die den URI Proxypfad und die Anmeldeinformationen für die Proxyauthentifizierung angibt. Einige externe Schlüsselspeicher-Proxys generieren diese Datei für Sie. Einzelheiten finden Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager.
Externer Schlüsselmanager
Jeder externe Schlüsselspeicher benötigt mindestens eine externe Schlüsselmanager-Instance. Dabei kann es sich um ein physisches oder virtuelles Hardware-Sicherheitsmodul (HSM) oder um eine Schlüsselverwaltungssoftware handeln.
Sie können einen einzelnen Schlüsselmanager verwenden, wir empfehlen jedoch aus Redundanzgründen mindestens zwei verwandte Schlüsselmanager-Instances, die sich kryptografische Schlüssel teilen. Der externe Schlüsselspeicher erfordert keine ausschließliche Verwendung des externen Schlüsselmanagers. Der externe Schlüsselmanager muss jedoch in der Lage sein, die erwartete Häufigkeit von Verschlüsselungs- und Entschlüsselungsanforderungen von AWS Diensten zu verarbeiten, die KMS Schlüssel im externen Schlüsselspeicher verwenden, um Ihre Ressourcen zu schützen. Ihr externer Schlüsselmanager sollte so konfiguriert sein, dass er bis zu 1 800 Anfragen pro Sekunde verarbeitet und innerhalb des Zeitlimits von 250 Millisekunden für jede Anforderung reagiert. Es wird empfohlen, den externen Schlüsselmanager in der Nähe von zu platzieren, AWS-Region sodass die Netzwerk-Rundlaufzeit (RTT) 35 Millisekunden oder weniger beträgt.
Wenn Ihr externer Schlüsselspeicher-Proxy dies zulässt, können Sie den externen Schlüsselmanager ändern, den Sie Ihrem externen Schlüsselspeicher-Proxy zuordnen. Der neue externe Schlüsselmanager muss jedoch ein Backup oder ein Snapshot mit demselben Schlüsselmaterial sein. Wenn der externe Schlüssel, den Sie einem Schlüssel zuordnen, für Ihren externen KMS Schlüsselspeicher-Proxy nicht mehr verfügbar ist, AWS KMS kann der mit dem Schlüssel verschlüsselte Chiffretext nicht entschlüsselt werden. KMS
Der externe Schlüsselmanager muss für den externen Schlüsselspeicher-Proxy zugänglich sein. Wenn in der GetHealthStatusAntwort des Proxys angegeben wird, dass alle externen Schlüsselmanager-Instanzen vorhanden sindUnavailable, schlagen alle Versuche, einen externen Schlüsselspeicher zu erstellen, mit einem fehl. XksProxyUriUnreachableException
Externer Schlüsselspeicher-Proxy
Sie müssen einen externen Schlüsselspeicher-Proxy (XKSProxy) angeben, der den Entwurfsanforderungen in der APIProxy-Spezifikation für AWS KMS externe Schlüsselspeicher
Sie können einen externen Schlüsselspeicher-Proxy für mehr als einen externen Schlüsselspeicher verwenden, aber jeder externe Schlüsselspeicher muss einen eindeutigen URI Endpunkt und Pfad innerhalb des externen Schlüsselspeicher-Proxys für seine Anfragen haben.
Wenn Sie VPC Endpoint Service Connectivity verwenden, können Sie Ihren externen Schlüsselspeicher-Proxy in Ihrem Amazon findenVPC, dies ist jedoch nicht erforderlich. Sie können Ihren Proxy außerhalb von AWS, z. B. in Ihrem privaten Rechenzentrum, lokalisieren und den VPC Endpunktdienst nur für die Kommunikation mit dem Proxy verwenden.
Anmeldeinformationen für die Proxy-Authentifizierung
Um einen externen Schlüsselspeicher zu erstellen, müssen Sie Ihre Anmeldeinformationen für die Proxy-Authentifizierung für den externen Schlüsselspeicher (XksProxyAuthenticationCredential) angeben.
Sie müssen einen Authentifizierungsnachweis (XksProxyAuthenticationCredential) für AWS KMS Ihren externen Schlüsselspeicher-Proxy einrichten. AWS KMS authentifiziert sich bei Ihrem Proxy, indem es seine Anfragen mithilfe des Signature Version 4-Prozesses (Sigv4) mit den Anmeldeinformationen für die Proxyauthentifizierung des externen Schlüsselspeichers signiert. Sie geben die Anmeldeinformationen für die Authentifizierung an, wenn Sie Ihren externen Schlüsselspeicher erstellen, und Sie können sie jederzeit ändern. Wenn Ihr Proxy Ihre Anmeldeinformationen rotiert, müssen Sie die Anmeldeinformationswerte für Ihren externen Schlüsselspeicher aktualisieren.
Die Anmeldeinformationen für die Proxy-Authentifizierung bestehen aus zwei Teilen. Sie müssen beide Teile für Ihren externen Schlüsselspeicher bereitstellen.
-
Zugriffsschlüssel-ID: Identifiziert den geheimen Zugriffsschlüssel. Sie können diese ID in Klartext angeben.
-
Geheimer Zugriffsschlüssel: Der geheime Teil der Anmeldeinformationen. AWS KMS verschlüsselt den geheimen Zugriffsschlüssel in den Anmeldeinformationen, bevor er gespeichert wird.
Die SigV4-Anmeldeinformationen, die zum Signieren von Anfragen an den externen Schlüsselspeicher-Proxy AWS KMS verwendet werden, haben nichts mit SigV4-Anmeldeinformationen zu tun, die mit Prinzipalen in Ihren Konten verknüpft sind. AWS Identity and Access Management AWS Verwenden Sie keine IAM SigV4-Anmeldeinformationen für Ihren externen Schlüsselspeicher-Proxy erneut.
Proxy-Konnektivität
Sie müssen die Proxy-Konnektivitätsoption des externen Schlüsselspeichers angeben (XksProxyConnectivity), um einen externen Schlüsselspeicher zu erstellen.
AWS KMS kann über einen öffentlichen Endpunkt oder einen Amazon Virtual Private Cloud (AmazonVPC) -Endpunktservice mit Ihrem externen Schlüsselspeicher-Proxy kommunizieren. Ein öffentlicher Endpunkt ist zwar einfacher zu konfigurieren und zu verwalten, erfüllt jedoch möglicherweise nicht die Sicherheitsanforderungen für jede Installation. Wenn Sie sich für die Verbindungsoption Amazon VPC Endpoint Service entscheiden, müssen Sie die erforderlichen Komponenten erstellen und verwalten, darunter ein Amazon VPC mit mindestens zwei Subnetzen in zwei verschiedenen Availability Zones, einen VPC Endpunktservice mit einem Network Load Balancer und einer Zielgruppe sowie einen privaten DNS Namen für den VPC Endpoint Service.
Für Ihren externen Schlüsselspeicher können Sie die Proxy-Konnektivitätsoption ändern. Sie müssen jedoch sicherstellen, dass das mit den KMS Schlüsseln verknüpfte Schlüsselmaterial in Ihrem externen Schlüsselspeicher weiterhin verfügbar ist. Andernfalls AWS KMS kann kein mit diesen Schlüsseln verschlüsselter Chiffretext entschlüsselt werden. KMS
Hilfe bei der Entscheidung, welche Proxy-Konnektivitätsoption für Ihren externen Schlüsselspeicher am besten geeignet ist, finden Sie unter Wählen Sie eine Proxy-Konnektivitätsoption für externen Schlüsselspeicher. Hilfe zum Erstellen und Konfigurieren von VPC Endpoint Service-Konnektivität finden Sie unter. Konfigurieren Sie die Konnektivität von VPC Endpoint Services
URIProxy-Endpunkt
Um einen externen Schlüsselspeicher zu erstellen, müssen Sie den Endpunkt (XksProxyUriEndpoint) angeben, über AWS KMS den Anfragen an den externen Schlüsselspeicher-Proxy gesendet werden.
Das Protokoll muss seinHTTPS. AWS KMS kommuniziert auf Port 443. Geben Sie den Port nicht im URI Proxy-Endpunktwert an.
-
Konnektivität eines öffentlichen Endpunkts: Geben Sie den öffentlich verfügbaren Endpunkt für Ihren externen Schlüsselspeicher-Proxy an. Dieser Endpunkt muss erreichbar sein, bevor Sie Ihren externen Schlüsselspeicher erstellen.
-
VPCEndpunktdienstkonnektivität — Geben Sie an,
https://gefolgt vom privaten DNS Namen des VPC Endpunktdienstes.
Das auf dem externen Schlüsselspeicher-Proxy konfigurierte TLS Serverzertifikat muss mit dem Domänennamen auf dem externen URI Schlüsselspeicher-Proxyendpunkt übereinstimmen und von einer Zertifizierungsstelle ausgestellt werden, die für externe Schlüsselspeicher unterstützt wird. Eine Liste finden Sie unter Vertrauenswürdige Zertifizierungsstellen
Der allgemeine Name (CN) des Antragstellers auf dem TLS Zertifikat muss mit dem privaten DNS Namen übereinstimmen. Wenn der private DNS Name beispielsweise lautetmyproxy-private.xks.example.com, muss der CN auf dem TLS Zertifikat myproxy-private.xks.example.com oder lauten*.xks.example.com.
Sie können Ihren URI Proxy-Endpunkt ändern, aber stellen Sie sicher, dass der externe Schlüsselspeicher-Proxy Zugriff auf das Schlüsselmaterial hat, das den KMS Schlüsseln in Ihrem externen Schlüsselspeicher zugeordnet ist. Andernfalls AWS KMS kann kein mit diesen Schlüsseln verschlüsselter Chiffretext entschlüsselt werden. KMS
Anforderungen an die Eindeutigkeit
-
Der kombinierte Wert für den URI Proxyendpunkt (
XksProxyUriEndpoint) und URI den Proxypfad (XksProxyUriPath) muss in der AWS-Konto Region und eindeutig sein. -
Externe Schlüsselspeicher mit öffentlicher Endpunktkonnektivität können denselben URI Proxyendpunkt gemeinsam nutzen, vorausgesetzt, sie haben unterschiedliche URI Proxypfadwerte.
-
Ein externer Schlüsselspeicher mit öffentlicher Endpunktkonnektivität kann nicht denselben URI Proxy-Endpunktwert verwenden wie jeder externe Schlüsselspeicher mit VPC Endpunktdienstkonnektivität in demselben AWS-Region, auch wenn sich die Schlüsselspeicher in unterschiedlichen Ordnern befinden AWS-Konten.
-
Jeder externe Schlüsselspeicher mit VPC Endpunktkonnektivität muss seinen eigenen privaten DNS Namen haben. Der URI Proxyendpunkt (privater DNS Name) muss in der Region AWS-Konto und eindeutig sein.
URIProxy-Pfad
Um einen externen Schlüsselspeicher zu erstellen, müssen Sie den Basispfad in Ihrem externen Schlüsselspeicher-Proxy zum erforderlichen Proxy angebenAPIs. Der Wert muss mit/kms/xks/v1 beginnen / und enden, wobei v1 es sich um die Version des Proxys AWS KMS
API für den externen Schlüsselspeicher handelt. Dieser Pfad kann ein optionales Präfix zwischen den erforderlichen Elementen enthalten, z. B. /example-prefix/kms/xks/v1. Diesen Wert finden Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy.
AWS KMS sendet Proxyanfragen an die Adresse, die durch die Verkettung von URI Proxyendpunkt und Proxypfad angegeben wurde. URI Wenn der URI Proxyendpunkt beispielsweise https://myproxy.xks.example.com und der URI Proxypfad ist/kms/xks/v1, AWS KMS sendet seine API Proxyanfragen an. https://myproxy.xks.example.com/kms/xks/v1
Sie können Ihren URI Proxypfad ändern, aber stellen Sie sicher, dass der externe Schlüsselspeicher-Proxy Zugriff auf das Schlüsselmaterial hat, das den KMS Schlüsseln in Ihrem externen Schlüsselspeicher zugeordnet ist. Andernfalls AWS KMS kann kein mit diesen Schlüsseln verschlüsselter Chiffretext entschlüsselt werden. KMS
Anforderungen an die Eindeutigkeit
-
Der kombinierte Wert für den URI Proxyendpunkt (
XksProxyUriEndpoint) und URI den Proxypfad (XksProxyUriPath) muss in der AWS-Konto Region und eindeutig sein.
VPCEndpunktdienst
Gibt den Namen des VPC Amazon-Endpunktdienstes an, der für die Kommunikation mit Ihrem externen Schlüsselspeicher-Proxy verwendet wird. Diese Komponente ist nur für externe Schlüsselspeicher erforderlich, die VPC Endpoint Service-Konnektivität verwenden. Hilfe zur Einrichtung und Konfiguration Ihres VPC Endpunktdienstes für einen externen Schlüsselspeicher finden Sie unterKonfigurieren Sie die Konnektivität von VPC Endpoint Services.
Der VPC Endpunktdienst muss die folgenden Eigenschaften haben:
-
Der VPC Endpunktdienst muss sich in derselben AWS-Konto Region wie der externe Schlüsselspeicher befinden.
-
Er muss über einen Netzwerk-Loadbalancer (NLB) verfügen, der mit mindestens zwei Subnetzen verbunden ist, die sich jeweils in einer anderen Availability Zone befinden.
-
Die Liste der zugelassenen Prinzipale für den VPC Endpunktdienst muss den AWS KMS Dienstprinzipal für die Region enthalten:
cks.kms., z. B.<region>.amazonaws.comcks.kms.us-east-1.amazonaws.com -
Er darf keine Annahme von Verbindungsanforderungen verlangen.
-
Es muss einen privaten DNS Namen innerhalb einer öffentlichen Domäne auf höherer Ebene haben. Sie könnten beispielsweise den privaten DNS Namen myproxy-private.xks.example.com im öffentlichen Bereich haben.
xks.example.comDer private DNS Name für einen externen Schlüsselspeicher mit VPC Endpoint Service-Konnektivität muss eindeutig sein. AWS-Region
-
Der Domänenverifizierungsstatus der privaten DNS Namensdomäne muss lauten
verified. -
Das auf dem externen Schlüsselspeicher-Proxy konfigurierte TLS Serverzertifikat muss den privaten DNS Hostnamen angeben, unter dem der Endpunkt erreichbar ist.
Anforderungen an die Eindeutigkeit
Externe Schlüsselspeicher mit VPC Endpunktkonnektivität können sich einen teilen
Amazon VPC, aber jeder externe Schlüsselspeicher muss seinen eigenen VPC Endpunktdienst und seinen eigenen privaten DNS Namen haben.
Proxy-Konfigurationsdatei
Eine Proxykonfigurationsdatei ist eine optionale DateiJSON, die Werte für den URIProxypfad und die Eigenschaften der Anmeldeinformationen für die Proxyauthentifizierung Ihres externen Schlüsselspeichers enthält. Beim Erstellen oder Bearbeiten eines externen Schlüsselspeichers in der AWS KMS -Konsole können Sie eine Proxy-Konfigurationsdatei hochladen, um Konfigurationswerte für Ihren externen Schlüsselspeicher bereitzustellen. Durch die Verwendung dieser Datei werden Tipp- und Einfügefehler verhindert und es wird sichergestellt, dass die Werte in Ihrem externen Schlüsselspeicher mit den Werten in Ihrem externen Schlüsselspeicher-Proxy übereinstimmen.
Die Proxy-Konfigurationsdateien werden vom externen Schlüsselspeicher-Proxy generiert. Ob Ihr externer Schlüsselspeicher-Proxy eine Proxy-Konfigurationsdatei anbietet, können Sie der Dokumentation Ihres externen Schlüsselspeicher-Proxys entnehmen.
Im Folgenden finden Sie ein Beispiel für eine gültige Proxy-Konfigurationsdatei mit fiktiven Werten.
{ "XksProxyUriPath": "/example-prefix/kms/xks/v1", "XksProxyAuthenticationCredential": { "AccessKeyId": "ABCDE12345670EXAMPLE", "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE=" } }
Sie können eine Proxykonfigurationsdatei nur hochladen, wenn Sie einen externen Schlüsselspeicher in der AWS KMS Konsole erstellen oder bearbeiten. Sie können sie nicht mit den UpdateCustomKeyStoreOperationen CreateCustomKeyStoreoder verwenden, aber Sie können die Werte in der Proxykonfigurationsdatei verwenden, um sicherzustellen, dass Ihre Parameterwerte korrekt sind.
Erstellen Sie einen neuen externen Schlüsselspeicher
Sobald Sie die erforderlichen Voraussetzungen zusammengestellt haben, können Sie in der AWS KMS Konsole oder mithilfe des CreateCustomKeyStoreVorgangs einen neuen externen Schlüsselspeicher erstellen.
Bevor Sie einen externen Schlüsselspeicher erstellen, wählen Sie Ihren Proxy-Konnektivitätstyp und stellen Sie sicher, dass Sie alle erforderlichen Komponenten erstellt und konfiguriert haben. Wenn Sie Hilfe bei der Suche nach einem der erforderlichen Werte benötigen, ziehen Sie die Dokumentation für Ihren externen Schlüsselspeicher-Proxy oder Ihre Schlüsselverwaltungssoftware zu Rate.
Anmerkung
Wenn Sie einen externen Schlüsselspeicher in der erstellen AWS Management Console, können Sie eine JSON basierte Proxykonfigurationsdatei mit Werten für den URIProxypfad und die Anmeldeinformationen für die Proxyauthentifizierung hochladen. Einige Proxys generieren diese Datei für Sie. Sie ist nicht erforderlich.
-
Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms
. -
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
Wählen Sie im Navigationsbereich Custom key stores (Benutzerdefinierte Schlüsselspeicher), External key stores (Externe Schlüsselspeicher) aus.
-
Wählen Sie Create external key store (Erstellen eines externen Schlüsselspeichers) aus.
-
Geben Sie einen Anzeigenamen für den externen Schlüsselspeicher ein. Der Name muss unter allen externen Schlüsselspeichern in Ihrem Konto eindeutig sein.
Wichtig
Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.
-
Wählen Sie Ihren Proxy-Konnektivitätstyp aus.
Die von Ihnen gewählte Proxy-Konnektivität bestimmt die für Ihren externen Schlüsselspeicher-Proxy erforderlichen Komponenten. Hilfe bei dieser Auswahl finden Sie unter Wählen Sie eine Proxy-Konnektivitätsoption für externen Schlüsselspeicher.
-
Wählen Sie den Namen des VPCEndpunktdienstes für diesen externen Schlüsselspeicher aus oder geben Sie ihn ein. Dieser Schritt wird nur angezeigt, wenn Ihr Proxykonnektivitätstyp für den externen Schlüsselspeicher VPCEndpoint Service ist.
Der VPC Endpunktdienst und sein Dienst VPCs müssen die Anforderungen für einen externen Schlüsselspeicher erfüllen. Details hierzu finden Sie unter Erfüllen der Voraussetzungen.
-
Geben Sie Ihren URIProxy-Endpunkt ein. Das Protokoll muss seinHTTPS. AWS KMS kommuniziert auf Port 443. Geben Sie den Port nicht im URI Proxy-Endpunktwert an.
Wenn der VPC Endpunktdienst AWS KMS erkannt wird, den Sie im vorherigen Schritt angegeben haben, füllt er dieses Feld für Sie aus.
Geben Sie für öffentliche Endpunktkonnektivität einen öffentlich verfügbaren Endpunkt einURI. Geben Sie für VPC Endpunktkonnektivität den Wert ein,
https://gefolgt vom privaten DNS Namen des VPC Endpunktdienstes. -
Laden Sie eine Proxykonfigurationsdatei hoch, oder geben Sie die Werte manuell ein, um die Werte für das URI Proxy-Pfadpräfix und die Anmeldeinformationen für die Proxyauthentifizierung einzugeben.
Wenn Sie über eine optionale Proxykonfigurationsdatei verfügen, die Werte für Ihren URIProxypfad und Ihre Proxyauthentifizierungsdaten enthält, wählen Sie Konfigurationsdatei hochladen. Folgen Sie den Schritten zum Hochladen der Datei.
Wenn die Datei hochgeladen ist, zeigt die Konsole die Werte aus der Datei in bearbeitbaren Feldern an. Sie können die Werte jetzt ändern oder diese Werte bearbeiten, nachdem der externe Schlüsselspeicher erstellt wurde.
Wählen Sie Show secret access key (Geheimen Zugriffsschlüssel anzeigen) aus, um den Wert des geheimen Zugriffsschlüssels anzuzeigen.
-
Wenn Sie keine Proxy-Konfigurationsdatei haben, können Sie den URI Proxypfad und die Werte für die Proxyauthentifizierung manuell eingeben.
Wenn Sie keine Proxy-Konfigurationsdatei haben, können Sie Ihren Proxy URI manuell eingeben. Die Konsole stellt den erforderlichen Wert/kms/xks/v1 bereit.
Wenn Ihr URIProxypfad ein optionales Präfix wie das
example-prefixin enthält/, geben Sie das Präfix in das Feld URIProxy-Pfad-Präfix ein. Andernfalls lassen Sie das Feld leer.example-prefix/kms/xks/v1Wenn Sie nicht über eine Proxy-Konfigurationsdatei verfügen, können Sie die Proxy-Authentifizierungsanmeldeinformation manuell eingeben. Sowohl die Zugriffsschlüssel-ID als auch der geheime Zugriffsschlüssel sind erforderlich.
-
Geben Sie in Proxy credential: Access key ID (Proxy-Anmeldeinformationen: Zugriffsschlüssel-ID) die Zugriffsschlüssel-ID der Proxy-Authentifizierungsanmeldeinformation ein. Die Zugriffsschlüssel-ID identifiziert den geheimen Zugriffsschlüssel.
-
Geben Sie in Proxy credential: Secret access key (Proxy-Anmeldeinformationen: Geheimer Zugriffsschlüssel) den geheimen Zugriffsschlüssel der Proxy-Authentifizierungsanmeldeinformation ein.
Wählen Sie Show secret access key (Geheimen Zugriffsschlüssel anzeigen) aus, um den Wert des geheimen Zugriffsschlüssels anzuzeigen.
Mit diesem Verfahren wird die Authentifizierungsanmeldeinformation, die Sie auf Ihrem externen Schlüsselspeicher-Proxy eingerichtet haben, weder festgelegt noch geändert. Es verknüpft diese Werte lediglich mit Ihrem externen Schlüsselspeicher. Informationen zum Einrichten, Ändern und Rotieren der Proxy-Authentifizierungsanmeldeinformation finden Sie in der Dokumentation zu Ihrem externen Schlüsselspeicher-Proxy oder Ihrer Schlüsselverwaltungssoftware.
Wenn sich die Proxy-Authentifizierungsanmeldeinformation ändert, bearbeiten Sie die Einstellungen für die Anmeldeinformation für Ihren externen Schlüsselspeicher.
-
-
Wählen Sie Create external key store (Erstellen eines externen Schlüsselspeichers) aus.
Wenn der Vorgang erfolgreich war, wird der neue externe Schlüsselspeicher in der Liste der externen Schlüsselspeicher im Konto und in der Region angezeigt. Bei nicht erfolgreicher Ausführung wird eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt CreateKey Fehler für den externen Schlüssel.
Nächster Schritt: Neue externe Schlüsselspeicher werden nicht automatisch verbunden. Bevor Sie AWS KMS keys in Ihrem externen Schlüsselspeicher etwas erstellen können, müssen Sie den externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbinden.
Sie können den CreateCustomKeyStoreVorgang verwenden, um einen neuen externen Schlüsselspeicher zu erstellen. Hilfe bei der Suche nach den Werten für die erforderlichen Parameter finden Sie in der Dokumentation zu Ihrem externen Schlüsselspeicher-Proxy oder Ihrer Schlüsselverwaltungssoftware.
Tipp
Sie können keine Proxy-Konfigurationsdatei hochladen, wenn Sie den CreateCustomKeyStore-Vorgang verwenden. Sie können jedoch die Werte in der Proxy-Konfigurationsdatei verwenden, um sicherzustellen, dass Ihre Parameterwerte korrekt sind.
Zum Erstellen eines externen Schlüsselspeichers sind für den CreateCustomKeyStore-Vorgang die folgenden Parameterwerte erforderlich:
-
CustomKeyStoreName: Ein Anzeigename für den externen Schlüsselspeicher, der im Konto eindeutig ist.Wichtig
Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.
-
CustomKeyStoreType: Geben SieEXTERNAL_KEY_STOREan. -
XksProxyConnectivity: Geben Sie
PUBLIC_ENDPOINToderVPC_ENDPOINT_SERVICEan. -
XksProxyAuthenticationCredential: Geben Sie sowohl die Zugriffsschlüssel-ID als auch den geheimen Zugriffsschlüssel an.
-
XksProxyUriEndpoint— Der Endpunkt, der für die Kommunikation mit Ihrem externen Schlüsselspeicher-Proxy AWS KMS verwendet wird.
-
XksProxyUriPath— Der Pfad innerhalb des Proxys zum ProxyAPIs.
-
XksProxyVpcEndpointServiceName: Nur erforderlich, wenn Ihr
XksProxyConnectivity-WertVPC_ENDPOINT_SERVICEist.
Anmerkung
Wenn Sie AWS CLI Version 1.0 verwenden, führen Sie den folgenden Befehl aus, bevor Sie einen Parameter mit einem HTTP HTTPS OR-Wert angeben, z. B. den XksProxyUriEndpoint Parameter.
aws configure set cli_follow_urlparam false
Andernfalls ersetzt AWS CLI Version 1.0 den Parameterwert durch den Inhalt, der an dieser URI Adresse gefunden wurde, was den folgenden Fehler verursacht:
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve https:// : received non 200 status code of 404
In den folgenden Beispielen werden fiktive Werte verwendet. Bevor Sie den Befehl ausführen, ersetzen Sie sie durch gültige Werte für Ihren externen Schlüsselspeicher.
Erstellen Sie einen externen Schlüsselspeicher mit der Konnektivität eines öffentlichen Endpunkts.
$aws kms create-custom-key-store --custom-key-store-nameExampleExternalKeyStorePublic\ --custom-key-store-type EXTERNAL_KEY_STORE \ --xks-proxy-connectivity PUBLIC_ENDPOINT \ --xks-proxy-uri-endpointhttps://myproxy.xks.example.com\ --xks-proxy-uri-path/kms/xks/v1\ --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>
Erstellen Sie einen externen Schlüsselspeicher mit VPC Endpoint Service-Konnektivität.
$aws kms create-custom-key-store --custom-key-store-nameExampleExternalKeyStoreVPC\ --custom-key-store-type EXTERNAL_KEY_STORE \ --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \ --xks-proxy-vpc-endpoint-service-namecom.amazonaws.vpce.us-east-1.vpce-svc-example\ --xks-proxy-uri-endpointhttps://myproxy-private.xks.example.com\ --xks-proxy-uri-path/kms/xks/v1\ --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>
Bei einer erfolgreichen Produktion gibt CreateCustomKeyStore die ID des benutzerdefinierten Schlüsselspeichers zurück, wie in der folgenden Beispielantwort dargestellt.
{ "CustomKeyStoreId": cks-1234567890abcdef0 }
Wenn die Produktion fehlschlägt, korrigieren Sie den in der Ausnahme angegebenen Fehler und versuchen Sie es erneut. Weitere Informationen finden Sie unter Fehlerbehebung bei externen Schlüsselspeichern.
Nächster Schritt: Um den externen Schlüsselspeicher zu verwenden, verbinden Sie ihn mit dem externen Schlüsselspeicher-Proxy.
