Pilih opsi konektivitas proxy penyimpanan kunci eksternal - AWS Key Management Service
Konektivitas titik akhir publikVPCkonektivitas layanan endpoint

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pilih opsi konektivitas proxy penyimpanan kunci eksternal

Sebelum membuat penyimpanan kunci eksternal Anda, pilih opsi konektivitas yang menentukan cara AWS KMS berkomunikasi dengan komponen penyimpanan kunci eksternal Anda. Opsi konektivitas yang Anda pilih menentukan sisa proses perencanaan.

Jika Anda membuat penyimpanan kunci eksternal, Anda perlu menentukan bagaimana AWS KMS berkomunikasi dengan proxy penyimpanan kunci eksternal Anda. Pilihan ini akan menentukan komponen mana yang Anda butuhkan dan bagaimana Anda mengkonfigurasinya. AWS KMS mendukung opsi konektivitas berikut. Pilih opsi yang memenuhi tujuan kinerja dan keamanan Anda.

Sebelum Anda mulai, konfirmasikan bahwa Anda memerlukan toko kunci eksternal. Sebagian besar pelanggan dapat menggunakan KMS kunci yang didukung oleh materi AWS KMS utama.

catatan

Jika proxy penyimpanan kunci eksternal Anda dibangun ke dalam pengelola kunci eksternal Anda, konektivitas Anda mungkin telah ditentukan sebelumnya. Untuk panduan, lihat dokumentasi untuk pengelola kunci eksternal atau proxy penyimpanan kunci eksternal Anda.

Anda dapat mengubah opsi konektivitas proxy penyimpanan kunci eksternal Anda bahkan di toko kunci eksternal yang beroperasi. Namun, prosesnya harus direncanakan dan dijalankan dengan hati-hati untuk meminimalkan gangguan, menghindari kesalahan, dan memastikan akses berkelanjutan ke kunci kriptografi yang mengenkripsi data Anda.

Konektivitas titik akhir publik

AWS KMS terhubung ke proxy penyimpanan kunci eksternal (XKSproxy) melalui internet menggunakan titik akhir publik.

Opsi konektivitas ini lebih mudah diatur dan dipelihara, dan selaras dengan beberapa model manajemen kunci. Namun, itu mungkin tidak memenuhi persyaratan keamanan beberapa organisasi.

Konektivitas titik akhir publik

Persyaratan

Jika Anda memilih konektivitas titik akhir publik, berikut ini diperlukan.

  • Proxy penyimpanan kunci eksternal Anda harus dapat dijangkau pada titik akhir yang dapat dirutekan secara publik.

  • Anda dapat menggunakan titik akhir publik yang sama untuk beberapa penyimpanan kunci eksternal asalkan mereka menggunakan nilai URIjalur proxy yang berbeda.

  • Anda tidak dapat menggunakan titik akhir yang sama untuk penyimpanan kunci eksternal dengan konektivitas titik akhir publik dan penyimpanan kunci eksternal apa pun dengan konektivitas layanan VPC titik akhir yang sama Wilayah AWS, bahkan jika penyimpanan kunci berbeda. Akun AWS

  • Anda harus mendapatkan TLS sertifikat yang dikeluarkan oleh otoritas sertifikat publik yang didukung untuk toko kunci eksternal. Untuk daftar, lihat Otoritas Sertifikat Tepercaya.

    Nama umum subjek (CN) pada TLS sertifikat harus cocok dengan nama domain di URItitik akhir proxy untuk proxy penyimpanan kunci eksternal. Misalnya, jika titik akhir publik adalahhttps://myproxy.xks.example.com, CN pada TLS sertifikat harus myproxy.xks.example.com atau. TLS *.xks.example.com

  • Pastikan bahwa setiap firewall antara AWS KMS dan proxy penyimpanan kunci eksternal memungkinkan lalu lintas ke dan dari port 443 pada proxy. AWS KMS berkomunikasi di port 443. Nilai ini tidak dapat dikonfigurasi.

Untuk semua persyaratan untuk penyimpanan kunci eksternal, lihat Merakit prasyarat.

VPCkonektivitas layanan endpoint

AWS KMS terhubung ke proxy penyimpanan kunci eksternal (XKSproxy) dengan membuat titik akhir antarmuka ke layanan endpoint Amazon VPC yang Anda buat dan konfigurasikan. Anda bertanggung jawab untuk membuat layanan VPC endpoint dan untuk menghubungkan Anda VPC ke manajer kunci eksternal Anda.

Layanan endpoint Anda dapat menggunakan salah satu network-to-AmazonVPCopsi yang didukung untuk komunikasi, termasuk AWS Direct Connect.

Opsi konektivitas ini lebih rumit untuk diatur dan dipelihara. Tetapi menggunakan AWS PrivateLink, yang memungkinkan AWS KMS untuk terhubung secara pribadi ke Amazon Anda VPC dan proxy toko kunci eksternal Anda tanpa menggunakan internet publik.

Anda dapat menemukan proxy toko kunci eksternal Anda di Amazon AndaVPC.

VPCkonektivitas layanan endpoint - XKS proxy di VPC

Atau, cari proxy penyimpanan kunci eksternal Anda di luar AWS dan gunakan layanan VPC endpoint Amazon Anda hanya untuk komunikasi yang AWS KMS aman.

VPCkonektivitas layanan endpoint - XKS proxy di luar AWS

Pelajari lebih lanjut:

  • Tinjau proses untuk membuat toko kunci eksternal, termasuk merakit prasyarat. Ini akan membantu Anda memastikan bahwa Anda memiliki semua komponen yang Anda butuhkan saat membuat toko kunci eksternal Anda.

  • Pelajari cara mengontrol akses ke penyimpanan kunci eksternal Anda, termasuk izin yang diperlukan oleh administrator dan pengguna penyimpanan kunci eksternal.

  • Pelajari tentang CloudWatch metrik dan dimensi Amazon yang AWS KMS mencatat penyimpanan kunci eksternal. Kami sangat menyarankan agar Anda membuat alarm untuk memantau penyimpanan kunci eksternal Anda sehingga Anda dapat mendeteksi tanda-tanda awal masalah kinerja dan operasional.