Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Choisissez une option de connectivité proxy pour un magasin de clés externe
Avant de créer votre magasin de clés externe, choisissez l'option de connectivité qui détermine le mode de AWS KMS communication avec les composants de votre magasin de clés externe. L'option de connectivité que vous choisissez détermine le reste du processus de planification.
Si vous créez un magasin de clés externe, vous devez déterminer le mode de AWS KMS communication avec votre proxy de magasin de clés externe. Ce choix déterminera les composants dont vous avez besoin et la manière dont vous les configurez. AWS KMS prend en charge les options de connectivité suivantes. Choisissez l'option qui répond à vos objectifs de performance et de sécurité.
Avant de commencer, vérifiez que vous avez besoin d'un magasin de clés externe. La plupart des clients peuvent utiliser KMS des clés soutenues par du matériel AWS KMS clé.
Note
Si votre proxy de magasin de clés externe est intégré à votre gestionnaire de clés externe, votre connectivité peut être prédéterminée. Pour obtenir des conseils, consultez la documentation de votre gestionnaire de clés externe ou de votre proxy de magasin de clés externe.
Vous pouvez modifier l'option de connectivité de votre proxy de magasin de clés externe, même sur un magasin de clés externe opérationnel. Toutefois, le processus doit être soigneusement planifié et exécuté afin de minimiser les interruptions, d'éviter les erreurs et de garantir un accès continu aux clés cryptographiques qui chiffrent vos données.
Connectivité au point de terminaison public
AWS KMS se connecte au proxy de stockage de clés externe (XKSproxy) via Internet à l'aide d'un point de terminaison public.
Cette option de connectivité est plus facile à configurer et à gérer, et elle s'adapte parfaitement à certains modèles de gestion des clés. Toutefois, il se peut qu'elle ne réponde pas aux exigences de sécurité de certaines organisations.
Prérequis
Si vous optez pour la connectivité au point de terminaison public, les éléments suivants sont requis.
-
Le proxy de votre magasin de clés externe doit être accessible à partir d'un point de terminaison publiquement routable.
-
Vous pouvez utiliser le même point de terminaison public pour plusieurs magasins de clés externes à condition qu'ils utilisent des valeurs de URIchemin de proxy différentes.
-
Vous ne pouvez pas utiliser le même point de terminaison pour un magasin de clés externe connecté à un point de terminaison public et un magasin de clés externe doté d'une connectivité aux services de point de VPC terminaison Région AWS, même si les magasins de clés se trouvent dans des emplacements différents Comptes AWS.
-
Vous devez obtenir un TLS certificat émis par une autorité de certification publique prise en charge pour les magasins de clés externes. Pour obtenir une liste, veuillez consulter les Autorités de certification approuvées
(langue française non garantie). Le nom commun du sujet (CN) figurant sur le TLS certificat doit correspondre au nom de domaine indiqué dans le point de URIterminaison du proxy de stockage de clés externe. Par exemple, si le point de terminaison public est
https://myproxy.xks.example.comTLS, le CN du TLS certificat doit êtremyproxy.xks.example.comou*.xks.example.com. -
Assurez-vous que tous les pare-feux situés entre le proxy de stockage de clés externe AWS KMS et le proxy autorisent le trafic à destination et en provenance du port 443 du proxy. AWS KMS communique sur le port 443. Cette valeur n'est pas configurable.
Pour connaître toutes les exigences relatives à un magasin de clés externe, veuillez consulter la rubrique Réunir les conditions préalables.
VPCconnectivité aux services des terminaux
AWS KMS se connecte au proxy externe du magasin de clés (XKSproxy) en créant un point de terminaison d'interface vers un service de point de VPC terminaison Amazon que vous créez et configurez. Vous êtes chargé de créer le service de VPC point de terminaison et de vous connecter VPC à votre gestionnaire de clés externe.
Votre service de point de terminaison peut utiliser n'importe laquelle des network-to-AmazonVPCoptions prises en charge pour les communications, notamment AWS Direct Connect.
Cette option de connectivité est plus compliquée à configurer et à gérer. Mais il utilise AWS PrivateLink, ce qui permet AWS KMS de se connecter en privé à votre Amazon VPC et à votre proxy de magasin de clés externe sans utiliser l'Internet public.
Vous pouvez localiser le proxy de votre magasin de clés externe sur votre AmazonVPC.
Vous pouvez également localiser le proxy de votre magasin de clés externe à l'extérieur AWS et utiliser votre service Amazon VPC Endpoint uniquement pour une communication sécurisée avec AWS KMS.
En savoir plus :
-
Passez en revue le processus de création d'un magasin de clés externe, ce qui inclut de réunir les conditions préalables. Cela vous aidera à vous assurer que vous disposez de tous les composants dont vous avez besoin lorsque vous créez votre magasin de clés externe.
-
Découvrez comment contrôler l'accès à votre magasin de clés externe, notamment les autorisations requises par les administrateurs et les utilisateurs du magasin de clés externe.
-
Découvrez les CloudWatch statistiques et les dimensions Amazon AWS KMS enregistrées pour les principaux magasins externes. Nous vous recommandons vivement de créer des alertes pour surveiller votre magasin de clés externe afin de détecter les premiers signes de problèmes de performance et de fonctionnement.
