Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen eines externen Schlüsselspeichers
Sie können in jedem AWS-Konto und jeder Region einen oder mehrere externe Schlüsselspeicher erstellen. Jeder externe Schlüsselspeicher muss mit einem externen Schlüsselmanager außerhalb von AWS und einem externen Schlüsselspeicher-Proxy (XKS-Proxy) verbunden sein, der die Kommunikation zwischen AWS KMS und Ihrem externen Schlüsselmanager vermittelt. Details hierzu finden Sie unter Planen eines externen Schlüsselspeichers. Bevor Sie beginnen, vergewissern Sie sich, dass Sie einen externen Schlüsselspeicher benötigen. Die meisten Kunden können KMS-Schlüssel verwenden, die durch AWS KMS-Schlüsselmaterial gesichert sind.
Tipp
Einige externe Schlüsselmanager bieten eine einfachere Methode zum Erstellen eines externen Schlüsselspeichers. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.
Vor dem Erstellen des externen Schlüsselspeichers müssen Sie einige Voraussetzungen erfüllen. Geben Sie während des Erstellungsprozesses die Eigenschaften Ihres externen Schlüsselspeichers an. Vor allem müssen Sie angeben, ob Ihr externer Schlüsselspeicher in AWS KMS einen öffentlichen Endpunkt oder einen VPC-Endpunkt-Service verwendet, um eine Verbindung zu seinem externen Schlüsselspeicher-Proxy herzustellen. Sie geben auch die Verbindungsdetails an, einschließlich des URI-Endpunkts des Proxys und des Pfads innerhalb dieses Proxy-Endpunkts, an den AWS KMS API-Anforderungen an den Proxy sendet.
-
Wenn Sie eine öffentliche Endpunktverbindung verwenden, stellen Sie sicher, dass AWS KMS über eine HTTPS-Verbindung mit Ihrem Proxy über das Internet kommunizieren kann. Dazu gehört die Konfiguration von TLS auf dem externen Schlüsselspeicher-Proxy und die Sicherstellung, dass alle Firewalls zwischen AWS KMS und dem Proxy den Datenverkehr zu und von Port 443 auf dem Proxy zulassen. Beim Erstellen eines externen Schlüsselspeichers mit der Konnektivität eines öffentlichen Endpunkts testet AWS KMS die Verbindung, indem es eine Statusanfrage an den externen Schlüsselspeicher-Proxy sendet. Mit diesem Test wird überprüft, ob der Endpunkt erreichbar ist und ob der externe Schlüsselspeicher-Proxy eine mit der Anmeldeinformation für die Proxy-Authentifizierung des externen Schlüsselspeichers signierte Anforderung akzeptiert. Wenn diese Testanforderung fehlschlägt, schlägt der Vorgang zum Erstellen des externen Schlüsselspeichers fehl.
-
Wenn Sie die Konnektivität eines VPC-Endpunkt-Service verwenden, stellen Sie sicher, dass der Network Load Balancer, der private DNS-Name und der VPC-Endpunkt-Service korrekt konfiguriert und betriebsbereit sind. Wenn sich der externe Schlüsselspeicher-Proxy nicht in der VPC befindet, müssen Sie sicherstellen, dass der VPC-Endpunkt-Service mit dem externen Schlüsselspeicher-Proxy kommunizieren kann. (AWS KMS testet die Konnektivität des VPC-Endpunkt-Service, wenn Sie den externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbinden.)
Weitere Überlegungen:
-
AWS KMS zeichnet Amazon- CloudWatch Metriken und -Dimensionen speziell für externe Schlüsselspeicher auf. In der AWS KMS-Konsole werden für jeden externen Schlüsselspeicher Überwachungsdiagramme angezeigt, die auf einigen dieser Metriken basieren. Es wird dringend empfohlen, diese Metriken zu verwenden, um Alarme zu erstellen, die Ihren externen Schlüsselspeicher überwachen. Diese Alarme warnen Sie vor ersten Anzeichen von Leistungs- und Betriebsproblemen, bevor sie auftreten. Anweisungen finden Sie unter Überwachung eines externen Schlüsselspeichers.
-
Externe Schlüsselspeicher unterliegen Ressourcenkontingenten. Die Verwendung von KMS-Schlüsseln in einem externen Schlüsselspeicher unterliegt Anforderungskontingenten. Überprüfen Sie diese Kontingente, bevor Sie Ihre externe Schlüsselspeicher-Implementierung entwerfen.
Anmerkung
Überprüfen Sie Ihre Konfiguration auf zirkuläre Abhängigkeiten, die möglicherweise verhindern, dass sie funktioniert.
Wenn Sie beispielsweise Ihren externen Schlüsselspeicher-Proxy mithilfe von AWS-Ressourcen erstellen, stellen Sie sicher, dass für den Betrieb des Proxys nicht die Verfügbarkeit eines KMS-Schlüssels in einem externen Schlüsselspeicher erforderlich ist, auf den über diesen Proxy zugegriffen wird.
Alle neuen externen Schlüsselspeicher werden in einem getrennten Zustand erstellt. Bevor Sie KMS-Schlüssel für Ihren externen Schlüsselspeicher erstellen können, müssen Sie ihn mit seinem externen Schlüsselspeicher-Proxy verbinden. Bearbeiten Sie die Einstellungen Ihres externen Schlüsselspeichers, um die Eigenschaften Ihres externen Schlüsselspeichers zu ändern.
Themen
Erfüllen der Voraussetzungen
Bevor Sie einen externen Schlüsselspeicher erstellen, müssen Sie die erforderlichen Komponenten zusammenstellen, einschließlich des externen Schlüsselmanagers, den Sie zur Unterstützung des externen Schlüsselspeichers verwenden werden, und des externen Schlüsselspeicher-Proxys, der AWS KMS-Anforderungen in ein Format übersetzt, das Ihr externer Schlüsselmanager verstehen kann.
Die folgenden Komponenten sind für alle externen Schlüsselspeicher erforderlich. Zusätzlich zu diesen Komponenten müssen Sie die Komponenten bereitstellen, die die von Ihnen gewählte Option der externen Schlüsselspeicher-Proxy-Konnektivität unterstützen.
Tipp
Ihr externer Schlüsselmanager enthält möglicherweise einige dieser Komponenten, oder sie sind möglicherweise für Sie konfiguriert. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.
Wenn Sie Ihren externen Schlüsselspeicher in der AWS KMS-Konsole erstellen, haben Sie die Möglichkeit, eine JSON-basierte Proxy-Konfigurationsdatei hochzuladen, die den Proxy-URI-Pfad und die Anmeldeinformationen für die Proxy-Authentifizierung angibt. Einige externe Schlüsselspeicher-Proxys generieren diese Datei für Sie. Einzelheiten finden Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager.
Externer Schlüsselmanager
Jeder externe Schlüsselspeicher benötigt mindestens eine externe Schlüsselmanager-Instance. Dies kann ein physisches oder virtuelles Hardwaresicherheitsmodul (HSM) oder eine Schlüsselverwaltungssoftware sein.
Sie können einen einzelnen Schlüsselmanager verwenden, wir empfehlen jedoch aus Redundanzgründen mindestens zwei verwandte Schlüsselmanager-Instances, die sich kryptografische Schlüssel teilen. Der externe Schlüsselspeicher erfordert keine ausschließliche Verwendung des externen Schlüsselmanagers. Der externe Schlüsselmanager muss jedoch in der Lage sein, die erwartete Häufigkeit von Verschlüsselungs- und Entschlüsselungsanforderungen der AWS-Services zu verarbeiten, die KMS-Schlüssel im externen Schlüsselspeicher verwenden, um Ihre Ressourcen zu schützen. Ihr externer Schlüsselmanager sollte so konfiguriert sein, dass er bis zu 1 800 Anfragen pro Sekunde verarbeitet und innerhalb des Zeitlimits von 250 Millisekunden für jede Anforderung reagiert. Wir empfehlen, den externen Schlüsselmanager in der Nähe einer AWS-Region zu platzieren, so dass die Netzwerk-Round-Trip-Zeit (RTT) maximal 35 Millisekunden beträgt.
Wenn Ihr externer Schlüsselspeicher-Proxy dies zulässt, können Sie den externen Schlüsselmanager ändern, den Sie Ihrem externen Schlüsselspeicher-Proxy zuordnen. Der neue externe Schlüsselmanager muss jedoch ein Backup oder ein Snapshot mit demselben Schlüsselmaterial sein. Wenn der externe Schlüssel, den Sie einem KMS-Schlüssel zuordnen, für Ihren externen Schlüsselspeicher-Proxy nicht mehr verfügbar ist, kann AWS KMS den mit dem KMS-Schlüssel verschlüsselten Geheimtext nicht entschlüsseln.
Der externe Schlüsselmanager muss für den externen Schlüsselspeicher-Proxy zugänglich sein. Wenn die GetHealthStatus Antwort des Proxys meldet, dass alle externen Schlüsselmanager-Instances sindUnavailable, schlagen alle Versuche, einen externen Schlüsselspeicher zu erstellen, mit einem fehlXksProxyUriUnreachableException.
Externer Schlüsselspeicher-Proxy
Sie müssen einen externen Schlüsselspeicher-Proxy (XKS-Proxy) angeben, der den Designanforderungen in der API-Spezifikation von AWS KMS für externe Schlüsselspeicher-Proxys
Sie können einen externen Schlüsselspeicher-Proxy für mehr als einen externen Schlüsselspeicher verwenden, aber jeder externe Schlüsselspeicher muss für seine Anforderungen einen eindeutigen URI-Endpunkt und -Pfad innerhalb des externen Schlüsselspeicher-Proxys haben.
Wenn Sie die Konnektivität eines VPC-Endpunkt-Service verwenden, können Sie Ihren externen Schlüsselspeicher-Proxy in Ihrer Amazon VPC lokalisieren, dies ist jedoch nicht erforderlich. Sie können Ihren Proxy außerhalb von AWS, z. B. in Ihrem privaten Rechenzentrum, lokalisieren und den VPC-Endpunkt-Service nur für die Kommunikation mit dem Proxy verwenden.
Anmeldeinformationen für die Proxy-Authentifizierung
Um einen externen Schlüsselspeicher zu erstellen, müssen Sie Ihre Anmeldeinformationen für die Proxy-Authentifizierung für den externen Schlüsselspeicher (XksProxyAuthenticationCredential) angeben.
Sie müssen Anmeldeinformationen für die Authentifizierung (XksProxyAuthenticationCredential) für AWS KMS auf Ihrem externen Schlüsselspeicher-Proxy einrichten. AWS KMS authentifiziert sich bei Ihrem Proxy, indem es seine Anfragen mit dem Prozess Signature Version 4 (SigV4) mit den Anmeldeinformationen für die Authentifizierung des externen Schlüsselspeicher-Proxys signiert. Sie geben die Anmeldeinformationen für die Authentifizierung an, wenn Sie Ihren externen Schlüsselspeicher erstellen, und Sie können sie jederzeit ändern. Wenn Ihr Proxy Ihre Anmeldeinformationen rotiert, müssen Sie die Anmeldeinformationswerte für Ihren externen Schlüsselspeicher aktualisieren.
Die Anmeldeinformationen für die Proxy-Authentifizierung bestehen aus zwei Teilen. Sie müssen beide Teile für Ihren externen Schlüsselspeicher bereitstellen.
-
Zugriffsschlüssel-ID: Identifiziert den geheimen Zugriffsschlüssel. Sie können diese ID in Klartext angeben.
-
Geheimer Zugriffsschlüssel: Der geheime Teil der Anmeldeinformation. AWS KMS verschlüsselt den geheimen Zugriffsschlüssel in der Anmeldeinformation, bevor er gespeichert wird.
Die SigV4-Anmeldeinformation, die AWS KMS zum Signieren von Anfragen an den externen Schlüsselspeicher-Proxy verwendet, stehen in keinem Zusammenhang mit SigV4-Anmeldeinformationen, die mit den AWS Identity and Access Management-Prinzipalen in Ihren AWS-Konten verknüpft sind. Verwenden Sie keine IAM-SigV4-Anmeldeinformationen für Ihren externen Schlüsselspeicher-Proxy wieder.
Proxy-Konnektivität
Sie müssen die Proxy-Konnektivitätsoption des externen Schlüsselspeichers angeben (XksProxyConnectivity), um einen externen Schlüsselspeicher zu erstellen.
AWS KMS kann durch die Verwendung eines öffentlichen Endpunkts oder eines Amazon Virtual Private Cloud (Amazon VPC)-Endpunkt-Service mit Ihrem externen Schlüsselspeicher-Proxy kommunizieren. Ein öffentlicher Endpunkt ist zwar einfacher zu konfigurieren und zu verwalten, erfüllt jedoch möglicherweise nicht die Sicherheitsanforderungen für jede Installation. Wenn Sie sich für die Option der Konnektivität des Amazon VPC-Endpunkt-Service entscheiden, müssen Sie die erforderlichen Komponenten erstellen und verwalten, einschließlich einer Amazon VPC mit mindestens zwei Subnetzen in zwei verschiedenen Availability Zones, einem VPC-Endpunkt-Service mit einem Network Load Balancer und einer Zielgruppe sowie einem privaten DNS-Namen für den VPC-Endpunkt-Service.
Für Ihren externen Schlüsselspeicher können Sie die Proxy-Konnektivitätsoption ändern. Sie müssen jedoch sicherstellen, dass das mit den KMS-Schlüsseln verbundene Schlüsselmaterial in Ihrem externen Schlüsselspeicher weiterhin verfügbar ist. Andernfalls kann AWS KMS keinen mit diesen KMS-Schlüsseln verschlüsselten Geheimtext entschlüsseln.
Hilfe bei der Entscheidung, welche Proxy-Konnektivitätsoption für Ihren externen Schlüsselspeicher am besten geeignet ist, finden Sie unter Auswählen einer Proxy-Konnektivitätsoption. Hilfe beim Erstellen und Konfigurieren der Konnektivität eines VPC-Endpunkt-Service finden Sie unter Konfigurieren der Konnektivität eines VPC-Endpunktservice.
Proxy-URI-Endpunkt
Um einen externen Schlüsselspeicher zu erstellen, müssen Sie den Endpunkt (XksProxyUriEndpoint) angeben, den AWS KMS verwendet, um Anforderungen an den externen Schlüsselspeicher-Proxy zu senden.
Das Protokoll muss HTTPS sein. AWS KMS kommuniziert über Port 443. Geben Sie den Port nicht im Wert des Proxy-URI-Endpunkts an.
-
Konnektivität eines öffentlichen Endpunkts: Geben Sie den öffentlich verfügbaren Endpunkt für Ihren externen Schlüsselspeicher-Proxy an. Dieser Endpunkt muss erreichbar sein, bevor Sie Ihren externen Schlüsselspeicher erstellen.
-
Konnektivität eines VPC-Endpunkt-Service: Geben Sie
https://gefolgt von dem privaten DNS-Namen des VPC-Endpunkt-Service an.
Das TLS-Serverzertifikat, das auf dem externen Schlüsselspeicher-Proxy konfiguriert ist, muss mit dem Domainnamen im URI-Endpunkt des externen Schlüsselspeicher-Proxy übereinstimmen und von einer Zertifizierungsstelle ausgestellt sein, die für externe Schlüsselspeicher unterstützt wird. Eine Liste finden Sie unter Vertrauenswürdige Zertifizierungsstellen
Der Subject Common Name (CN) auf dem TLS-Zertifikat muss mit dem privaten DNS-Namen übereinstimmen. Wenn der private DNS-Name beispielsweise myproxy-private.xks.example.com lautet, muss der CN auf dem TLS-Zertifikat myproxy-private.xks.example.com oder *.xks.example.com lauten.
Sie können Ihren Proxy-URI-Endpunkt ändern, aber stellen Sie sicher, dass der externe Schlüsselspeicher-Proxy Zugriff auf das Schlüsselmaterial hat, das mit den KMS-Schlüsseln in Ihrem externen Schlüsselspeicher verbunden ist. Andernfalls kann AWS KMS keinen mit diesen KMS-Schlüsseln verschlüsselten Geheimtext entschlüsseln.
Anforderungen an die Eindeutigkeit
-
Der kombinierte Wert für den Proxy-URI-Endpunkt (
XksProxyUriEndpoint) und den Proxy-URI-Pfad (XksProxyUriPath) muss in dem AWS-Konto und der Region eindeutig sein. -
Externe Schlüsselspeicher mit der Konnektivität eines öffentlichen Endpunkts können denselben Proxy-URI-Endpunkt verwenden, sofern sie unterschiedliche Proxy-URI-Pfadwerte haben.
-
Ein externer Schlüsselspeicher mit der Konnektivität eines öffentlichen Endpunkts kann nicht denselben Wert des Proxy-URI-Endpunkts verwenden wie ein externer Schlüsselspeicher mit der Konnektivität eines VPC-Endpunkt-Service in derselben AWS-Region, selbst wenn sich die Schlüsselspeicher in verschiedenen AWS-Konten befinden.
-
Jeder externe Schlüsselspeicher mit der Konnektivität eines VPC-Endpunkts muss seinen eigenen privaten DNS-Namen haben. Der Proxy-URI-Endpunkt (privater DNS-Name) muss in dem AWS-Konto und der Region eindeutig sein.
Proxy-URI-Pfad
Um einen externen Schlüsselspeicher zu erstellen, müssen Sie in Ihrem externen Schlüsselspeicher-Proxy den Basispfad zu den erforderlichen Proxy-APIs angeben. Der Wert muss mit / beginnen und mit /kms/xks/v1 enden, wobei v1 die Version der AWS KMS-API für den externen Schlüsselspeicher-Proxy darstellt. Dieser Pfad kann ein optionales Präfix zwischen den erforderlichen Elementen enthalten, z. B. /example-prefix/kms/xks/v1. Diesen Wert finden Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy.
AWS KMS sendet Proxy-Anforderungen an die Adresse, die durch die Verkettung von Proxy-URI-Endpunkt und Proxy-URI-Pfad angegeben ist. Wenn der Proxy-URI-Endpunkt beispielsweise https://myproxy.xks.example.com und der Proxy-URI-Pfad /kms/xks/v1 lautet, sendet AWS KMS seine Proxy-API-Anforderungen an https://myproxy.xks.example.com/kms/xks/v1.
Sie können Ihren Proxy-URI-Pfad ändern, aber stellen Sie sicher, dass der externe Schlüsselspeicher-Proxy Zugriff auf das Schlüsselmaterial hat, das mit den KMS-Schlüsseln in Ihrem externen Schlüsselspeicher verbunden ist. Andernfalls kann AWS KMS keinen mit diesen KMS-Schlüsseln verschlüsselten Geheimtext entschlüsseln.
Anforderungen an die Eindeutigkeit
-
Der kombinierte Wert für den Proxy-URI-Endpunkt (
XksProxyUriEndpoint) und den Proxy-URI-Pfad (XksProxyUriPath) muss in dem AWS-Konto und der Region eindeutig sein.
VPC-Endpunktservice
Gibt den Namen des Amazon VPC-Endpunkt-Services an, der für die Kommunikation mit dem externen Schlüsselspeicher-Proxy verwendet wird. Diese Komponente ist nur für externe Schlüsselspeicher erforderlich, die die Konnektivität eines VPC-Endpunkt-Service verwenden. Hilfe zum Einrichten und Konfigurieren Ihres VPC-Endpunkt-Services für einen externen Schlüsselspeicher finden Sie unter Konfigurieren der Konnektivität eines VPC-Endpunktservice.
Der VPC-Endpunkt-Service muss über die folgenden Eigenschaften verfügen:
-
Der VPC-Endpunkt-Service muss sich in demselben AWS-Konto und derselben Region befinden wie der externe Schlüsselspeicher.
-
Er muss über einen Network Load Balancer (NLB) verfügen, der mit mindestens zwei Subnetzen verbunden ist, die jeweils in einer anderen Availability Zone liegen.
-
Die Liste der zulässigen Prinzipale für den VPC-Endpunkt-Service muss den AWS KMS-Service-Prinzipal für die Region enthalten:
cks.kms., z. B.<region>.amazonaws.comcks.kms..us-east-1.amazonaws.com -
Er darf keine Annahme von Verbindungsanforderungen verlangen.
-
Er muss einen privaten DNS-Namen innerhalb einer öffentlichen Domain höherer Ebene haben. Sie könnten beispielsweise den privaten DNS-Namen „myproxy-private.xks.example.com“ in der öffentlichen Domain
xks.example.comhaben.Der private DNS-Name für einen externen Schlüsselspeicher mit der Konnektivität eines VPC-Endpunkt-Service muss in seiner AWS-Region eindeutig sein.
-
Der Domain-Verifizierungsstatus der privaten DNS-Namensdomain muss
verifiedlauten. -
Das auf dem externen Schlüsselspeicher-Proxy konfigurierte TLS-Serverzertifikat muss den privaten DNS-Hostnamen angeben, unter dem der Endpunkt erreichbar ist.
Anforderungen an die Eindeutigkeit
Externe Schlüsselspeicher mit der Konnektivität eines VPC-Endpunkts können sich eine
Amazon VPCteilen, aber jeder externe Schlüsselspeicher muss seinen eigenen VPC-Endpunkt-Service und privaten DNS-Namen haben.
Proxy-Konfigurationsdatei
Eine Proxy-Konfigurationsdatei ist eine optionale JSON-basierte Datei, die Werte für den Proxy-URI-Pfad und die Eigenschaften der Proxy-Authentifizierungsanmeldeinformation Ihres externen Schlüsselspeichers enthält. Beim Erstellen oder Bearbeiten eines externen Schlüsselspeichers in der AWS KMS-Konsole können Sie eine Proxy-Konfigurationsdatei hochladen, um Konfigurationswerte für Ihren externen Schlüsselspeicher bereitzustellen. Durch die Verwendung dieser Datei werden Tipp- und Einfügefehler verhindert und es wird sichergestellt, dass die Werte in Ihrem externen Schlüsselspeicher mit den Werten in Ihrem externen Schlüsselspeicher-Proxy übereinstimmen.
Die Proxy-Konfigurationsdateien werden vom externen Schlüsselspeicher-Proxy generiert. Ob Ihr externer Schlüsselspeicher-Proxy eine Proxy-Konfigurationsdatei anbietet, können Sie der Dokumentation Ihres externen Schlüsselspeicher-Proxys entnehmen.
Im Folgenden finden Sie ein Beispiel für eine gültige Proxy-Konfigurationsdatei mit fiktiven Werten.
{ "XksProxyUriPath": "/example-prefix/kms/xks/v1", "XksProxyAuthenticationCredential": { "AccessKeyId": "ABCDE12345670EXAMPLE", "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE=" } }
Sie können eine Proxy-Konfigurationsdatei nur hochladen, wenn Sie einen externen Schlüsselspeicher in der AWS KMS-Konsole erstellen oder bearbeiten. Sie können sie nicht mit den UpdateCustomKeyStore Operationen CreateCustomKeyStore oder verwenden, aber Sie können die Werte in der Proxy-Konfigurationsdatei verwenden, um sicherzustellen, dass Ihre Parameterwerte korrekt sind.
Erstellen eines externen Schlüsselspeichers (Konsole)
Bevor Sie einen externen Schlüsselspeicher erstellen, lesen Sie den Planen eines externen Schlüsselspeichers, wählen Sie Ihren Proxy-Konnektivitätstyp aus und stellen Sie sicher, dass Sie alle erforderlichen Komponenten erstellt und konfiguriert haben. Wenn Sie Hilfe bei der Suche nach einem der erforderlichen Werte benötigen, ziehen Sie die Dokumentation für Ihren externen Schlüsselspeicher-Proxy oder Ihre Schlüsselverwaltungssoftware zu Rate.
Anmerkung
Wenn Sie einen externen Schlüsselspeicher in der AWS Management Console erstellen, können Sie eine JSON-basierte Proxy-Konfigurationsdatei mit Werten für den Proxy-URI-Pfad und die Proxy-Authentifizierungsanmeldeinformation hochladen. Einige Proxys generieren diese Datei für Sie. Sie ist nicht erforderlich.
-
Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.
-
Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
Wählen Sie im Navigationsbereich Custom key stores (Benutzerdefinierte Schlüsselspeicher), External key stores (Externe Schlüsselspeicher) aus.
-
Wählen Sie Create external key store (Erstellen eines externen Schlüsselspeichers) aus.
-
Geben Sie einen Anzeigenamen für den externen Schlüsselspeicher ein. Der Name muss unter allen externen Schlüsselspeichern in Ihrem Konto eindeutig sein.
Wichtig
Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.
-
Wählen Sie Ihren Proxy-Konnektivitätstyp aus.
Die von Ihnen gewählte Proxy-Konnektivität bestimmt die für Ihren externen Schlüsselspeicher-Proxy erforderlichen Komponenten. Hilfe bei dieser Auswahl finden Sie unter Auswählen einer Proxy-Konnektivitätsoption.
-
Wählen Sie den Namen des VPC-Endpunkt-Service für diesen externen Schlüsselspeicher aus oder geben Sie ihn ein. Dieser Schritt wird nur angezeigt, wenn der Proxy-Konnektivitätstyp des externen Schlüsselspeichers VPC-Endpunkt-Service ist.
Der VPC-Endpunkt-Service und seine VPCs müssen die Anforderungen für einen externen Schlüsselspeicher erfüllen. Details hierzu finden Sie unter Erfüllen der Voraussetzungen.
-
Geben Sie Ihren Proxy-URI-Endpunkt ein. Das Protokoll muss HTTPS sein. AWS KMS kommuniziert über Port 443. Geben Sie den Port nicht im Wert des Proxy-URI-Endpunkts an.
Wenn AWS KMS den VPC-Endpunkt-Service erkennt, den Sie im vorherigen Schritt angegeben haben, wird dieses Feld für Sie ausgefüllt.
Für die Konnektivität eines öffentlichen Endpunkts geben Sie einen öffentlich verfügbaren Endpunkt-URI ein. Für die Konnektivität des VPC-Endpunkts geben Sie
https://gefolgt vom privaten DNS-Namen des VPC-Endpunkt-Service ein. -
Um die Werte für das Präfix des Proxy-URI-Pfads und die Proxy-Authentifizierungsanmeldeinformation einzugeben, laden Sie eine Proxy-Konfigurationsdatei hoch oder geben Sie die Werte manuell ein.
Wenn Sie über eine optionale Proxy-Konfigurationsdatei verfügen, die Werte für den Proxy-URI-Pfad und die Proxy-Authentifizierungsanmeldeinformation enthält, wählen Sie Upload configuration file (Konfigurationsdatei hochladen) aus. Folgen Sie den Schritten zum Hochladen der Datei.
Wenn die Datei hochgeladen ist, zeigt die Konsole die Werte aus der Datei in bearbeitbaren Feldern an. Sie können die Werte jetzt ändern oder diese Werte bearbeiten, nachdem der externe Schlüsselspeicher erstellt wurde.
Wählen Sie Show secret access key (Geheimen Zugriffsschlüssel anzeigen) aus, um den Wert des geheimen Zugriffsschlüssels anzuzeigen.
-
Wenn Sie über keine Proxy-Konfigurationsdatei verfügen, können Sie den Proxy-URI-Pfad und die Werte für die Proxy-Authentifizierungsanmeldeinformation manuell eingeben.
Wenn Sie nicht über eine Proxy-Konfigurationsdatei verfügen, können Sie den Proxy-URI manuell eingeben. Die Konsole liefert den erforderlichen /kms/xks/v1-Wert.
Wenn Ihr Proxy-URI-Pfad ein optionales Präfix enthält, wie z. B. das
example-prefixin/, geben Sie das Präfix in das Feld Proxy URI path prefix (Proxy-URI-Pfadpräfix) ein. Andernfalls lassen Sie das Feld leer.example-prefix/kms/xks/v1Wenn Sie nicht über eine Proxy-Konfigurationsdatei verfügen, können Sie die Proxy-Authentifizierungsanmeldeinformation manuell eingeben. Sowohl die Zugriffsschlüssel-ID als auch der geheime Zugriffsschlüssel sind erforderlich.
-
Geben Sie in Proxy credential: Access key ID (Proxy-Anmeldeinformationen: Zugriffsschlüssel-ID) die Zugriffsschlüssel-ID der Proxy-Authentifizierungsanmeldeinformation ein. Die Zugriffsschlüssel-ID identifiziert den geheimen Zugriffsschlüssel.
-
Geben Sie in Proxy credential: Secret access key (Proxy-Anmeldeinformationen: Geheimer Zugriffsschlüssel) den geheimen Zugriffsschlüssel der Proxy-Authentifizierungsanmeldeinformation ein.
Wählen Sie Show secret access key (Geheimen Zugriffsschlüssel anzeigen) aus, um den Wert des geheimen Zugriffsschlüssels anzuzeigen.
Mit diesem Verfahren wird die Authentifizierungsanmeldeinformation, die Sie auf Ihrem externen Schlüsselspeicher-Proxy eingerichtet haben, weder festgelegt noch geändert. Es verknüpft diese Werte lediglich mit Ihrem externen Schlüsselspeicher. Informationen zum Einrichten, Ändern und Rotieren der Proxy-Authentifizierungsanmeldeinformation finden Sie in der Dokumentation zu Ihrem externen Schlüsselspeicher-Proxy oder Ihrer Schlüsselverwaltungssoftware.
Wenn sich die Proxy-Authentifizierungsanmeldeinformation ändert, bearbeiten Sie die Einstellungen für die Anmeldeinformation für Ihren externen Schlüsselspeicher.
-
-
Wählen Sie Create external key store (Erstellen eines externen Schlüsselspeichers) aus.
Wenn der Vorgang erfolgreich war, wird der neue externe Schlüsselspeicher in der Liste der externen Schlüsselspeicher im Konto und in der Region angezeigt. Bei nicht erfolgreicher Ausführung wird eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt CreateKey Fehler für den externen Schlüssel.
Nächster Schritt: Neue externe Schlüsselspeicher werden nicht automatisch verbunden. Bevor Sie AWS KMS keys in Ihrem externen Schlüsselspeicher erstellen können, müssen Sie den externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbinden.
Erstellen eines externen Schlüsselspeichers (API)
Sie können die -CreateCustomKeyStoreOperation verwenden, um einen neuen externen Schlüsselspeicher zu erstellen. Hilfe bei der Suche nach den Werten für die erforderlichen Parameter finden Sie in der Dokumentation zu Ihrem externen Schlüsselspeicher-Proxy oder Ihrer Schlüsselverwaltungssoftware.
Tipp
Sie können keine Proxy-Konfigurationsdatei hochladen, wenn Sie den CreateCustomKeyStore-Vorgang verwenden. Sie können jedoch die Werte in der Proxy-Konfigurationsdatei verwenden, um sicherzustellen, dass Ihre Parameterwerte korrekt sind.
Zum Erstellen eines externen Schlüsselspeichers sind für den CreateCustomKeyStore-Vorgang die folgenden Parameterwerte erforderlich:
-
CustomKeyStoreName: Ein Anzeigename für den externen Schlüsselspeicher, der im Konto eindeutig ist.Wichtig
Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.
-
CustomKeyStoreType: Geben SieEXTERNAL_KEY_STOREan. -
XksProxyConnectivity: Geben Sie
PUBLIC_ENDPOINToderVPC_ENDPOINT_SERVICEan. -
XksProxyAuthenticationCredential: Geben Sie sowohl die Zugriffsschlüssel-ID als auch den geheimen Zugriffsschlüssel an.
-
XksProxyUriEndpoint: Der Endpunkt, den AWS KMS für die Kommunikation mit Ihrem externen Schlüsselspeicher-Proxy verwendet.
-
XksProxyUriPath: Der Pfad innerhalb des Proxys zu den Proxy-APIs.
-
XksProxyVpcEndpointServiceName: Nur erforderlich, wenn Ihr
XksProxyConnectivity-WertVPC_ENDPOINT_SERVICEist.
Anmerkung
Wenn Sie AWS CLI Version 1.0 verwenden, führen Sie den folgenden Befehl aus, bevor Sie einen Parameter mit einem HTTP- oder HTTPS-Wert angeben, wie beispielsweise den Parameter XksProxyUriEndpoint.
aws configure set cli_follow_urlparam false
Andernfalls ersetzt AWS CLI Version 1.0 den Parameterwert durch den unter dieser URI-Adresse gefundenen Inhalt und verursacht den folgenden Fehler:
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve https:// : received non 200 status code of 404
In den folgenden Beispielen werden fiktive Werte verwendet. Bevor Sie den Befehl ausführen, ersetzen Sie sie durch gültige Werte für Ihren externen Schlüsselspeicher.
Erstellen Sie einen externen Schlüsselspeicher mit der Konnektivität eines öffentlichen Endpunkts.
$aws kms create-custom-key-store --custom-key-store-nameExampleExternalKeyStorePublic\ --custom-key-store-type EXTERNAL_KEY_STORE \ --xks-proxy-connectivity PUBLIC_ENDPOINT \ --xks-proxy-uri-endpointhttps://myproxy.xks.example.com\ --xks-proxy-uri-path/kms/xks/v1\ --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>
Erstellen Sie einen externen Schlüsselspeicher mit der Konnektivität eines VPC-Endpunkt-Service.
$aws kms create-custom-key-store --custom-key-store-nameExampleExternalKeyStoreVPC\ --custom-key-store-type EXTERNAL_KEY_STORE \ --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \ --xks-proxy-vpc-endpoint-service-namecom.amazonaws.vpce.us-east-1.vpce-svc-example\ --xks-proxy-uri-endpointhttps://myproxy-private.xks.example.com\ --xks-proxy-uri-path/kms/xks/v1\ --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>
Bei einer erfolgreichen Produktion gibt CreateCustomKeyStore die ID des benutzerdefinierten Schlüsselspeichers zurück, wie in der folgenden Beispielantwort dargestellt.
{ "CustomKeyStoreId": cks-1234567890abcdef0 }
Wenn die Produktion fehlschlägt, korrigieren Sie den in der Ausnahme angegebenen Fehler und versuchen Sie es erneut. Weitere Informationen finden Sie unter Fehlerbehebung bei externen Schlüsselspeichern.
Nächster Schritt: Um den externen Schlüsselspeicher zu verwenden, verbinden Sie ihn mit dem externen Schlüsselspeicher-Proxy.
