Membuat toko kunci eksternal - AWS Key Management Service
Memasang prasyaratFile konfigurasi proxyBuat toko kunci eksternal (konsol)Buat toko kunci eksternal (API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat toko kunci eksternal

Anda dapat membuat satu atau banyak toko kunci eksternal di masing-masing Akun AWS dan Wilayah. Setiap penyimpanan kunci eksternal harus dikaitkan dengan pengelola kunci eksternal di luarAWS, dan proxy penyimpanan kunci eksternal (proxy XKS) yang memediasi komunikasi antara AWS KMS dan manajer kunci eksternal Anda. Untuk detailnya, lihat Merencanakan toko kunci eksternal. Sebelum Anda mulai, konfirmasikan bahwa Anda memerlukan toko kunci eksternal. Sebagian besar pelanggan dapat menggunakan kunci KMS yang didukung oleh materi AWS KMS utama.

Tip

Beberapa manajer kunci eksternal menyediakan metode yang lebih sederhana untuk membuat penyimpanan kunci eksternal. Untuk detailnya, lihat dokumentasi pengelola kunci eksternal Anda.

Sebelum Anda membuat toko kunci eksternal Anda, Anda perlu merakit prasyarat. Selama proses pembuatan, Anda menentukan properti penyimpanan kunci eksternal Anda. Yang terpenting, Anda menunjukkan apakah penyimpanan kunci eksternal Anda AWS KMS menggunakan titik akhir publik atau layanan titik akhir VPC untuk terhubung ke proxy penyimpanan kunci eksternalnya. Anda juga menentukan detail koneksi, termasuk titik akhir URI proxy dan jalur dalam titik akhir proxy tersebut tempat AWS KMS mengirimkan permintaan API ke proxy.

  • Jika Anda menggunakan konektivitas titik akhir publik, pastikan itu AWS KMS dapat berkomunikasi dengan proxy Anda melalui internet menggunakan koneksi HTTPS. Ini termasuk mengkonfigurasi TLS pada proxy penyimpanan kunci eksternal dan memastikan bahwa setiap firewall antara AWS KMS dan proxy memungkinkan lalu lintas ke dan dari port 443 pada proxy. Saat membuat penyimpanan kunci eksternal dengan konektivitas titik akhir publik, AWS KMS menguji koneksi dengan mengirimkan permintaan status ke proxy penyimpanan kunci eksternal. Tes ini memverifikasi bahwa titik akhir dapat dijangkau dan proxy penyimpanan kunci eksternal Anda akan menerima permintaan yang ditandatangani dengan kredensi otentikasi proxy penyimpanan kunci eksternal Anda. Jika permintaan pengujian ini gagal, operasi untuk membuat penyimpanan kunci eksternal gagal.

  • Jika Anda menggunakan konektivitas layanan titik akhir VPC, pastikan penyeimbang beban jaringan, nama DNS pribadi, dan layanan titik akhir VPC dikonfigurasi dengan benar dan operasional. Jika proxy penyimpanan kunci eksternal tidak ada di VPC, Anda perlu memastikan bahwa layanan titik akhir VPC dapat berkomunikasi dengan proxy penyimpanan kunci eksternal. (AWS KMSmenguji konektivitas layanan titik akhir VPC saat Anda menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal.)

Pertimbangan tambahan:

  • AWS KMSmerekam CloudWatch metrik dan dimensi Amazon terutama untuk toko kunci eksternal. Grafik pemantauan berdasarkan beberapa metrik ini muncul di AWS KMS konsol untuk setiap penyimpanan kunci eksternal. Kami sangat menyarankan Anda menggunakan metrik ini untuk membuat alarm yang memantau penyimpanan kunci rexternal Anda. Alarm ini mengingatkan Anda tentang tanda-tanda awal masalah kinerja dan operasional sebelum terjadi. Untuk petunjuk, lihat Memantau toko kunci eksternal.

  • Toko kunci eksternal tunduk pada kuota sumber daya. Penggunaan kunci KMS di toko kunci eksternal tunduk pada kuota permintaan. Tinjau kuota ini sebelum merancang implementasi penyimpanan kunci eksternal Anda.

catatan

Tinjau konfigurasi Anda untuk dependensi melingkar yang mungkin mencegahnya berfungsi.

Misalnya, jika Anda membuat proxy penyimpanan kunci eksternal menggunakan AWS sumber daya, pastikan bahwa mengoperasikan proxy tidak memerlukan ketersediaan kunci KMS di penyimpanan kunci eksternal yang diakses melalui proxy tersebut.

Semua toko kunci eksternal baru dibuat dalam keadaan terputus. Sebelum Anda dapat membuat kunci KMS toko kunci eksternal Anda, Anda harus menghubungkannya ke proxy penyimpanan kunci eksternal. Untuk mengubah properti penyimpanan kunci eksternal Anda, edit pengaturan penyimpanan kunci eksternal Anda.

Memasang prasyarat

Sebelum Anda membuat penyimpanan kunci eksternal, Anda perlu merakit komponen yang diperlukan, termasuk pengelola kunci eksternal yang akan Anda gunakan untuk mendukung penyimpanan kunci eksternal dan proxy penyimpanan kunci eksternal yang menerjemahkan AWS KMS permintaan ke dalam format yang dapat dipahami oleh manajer kunci eksternal Anda.

Komponen berikut diperlukan untuk semua toko kunci eksternal. Selain komponen ini, Anda perlu menyediakan komponen untuk mendukung opsi konektivitas proxy penyimpanan kunci eksternal yang Anda pilih.

Tip

Manajer kunci eksternal Anda mungkin menyertakan beberapa komponen ini, atau mereka mungkin dikonfigurasi untuk Anda. Untuk detailnya, lihat dokumentasi pengelola kunci eksternal Anda.

Jika Anda membuat penyimpanan kunci eksternal di AWS KMS konsol, Anda memiliki opsi untuk mengunggah file konfigurasi proxy berbasis JSON yang menentukan jalur URI proxydan kredensi otentikasi proxy. Beberapa proxy penyimpanan kunci eksternal menghasilkan file ini untuk Anda. Untuk detailnya, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau pengelola kunci eksternal.

Manajer kunci eksternal

Setiap penyimpanan kunci eksternal memerlukan setidaknya satu instance pengelola kunci eksternal. Ini bisa berupa modul keamanan perangkat keras fisik atau virtual (HSM), atau perangkat lunak manajemen kunci.

Anda dapat menggunakan satu manajer kunci, tetapi kami merekomendasikan setidaknya dua contoh manajer kunci terkait yang berbagi kunci kriptografi untuk redundansi. Toko kunci eksternal tidak memerlukan penggunaan eksklusif manajer kunci eksternal. Namun, manajer kunci eksternal harus memiliki kapasitas untuk menangani frekuensi yang diharapkan dari enkripsi dan permintaan dekripsi dari AWS layanan yang menggunakan kunci KMS di penyimpanan kunci eksternal untuk melindungi sumber daya Anda. Manajer kunci eksternal Anda harus dikonfigurasi untuk menangani hingga 1800 permintaan per detik dan merespons dalam batas waktu 250 milidetik untuk setiap permintaan. Kami menyarankan Anda menemukan manajer kunci eksternal dekat dengan Wilayah AWS sehingga waktu pulang-pergi jaringan (RTT) adalah 35 milidetik atau kurang.

Jika proxy penyimpanan kunci eksternal Anda mengizinkannya, Anda dapat mengubah pengelola kunci eksternal yang Anda kaitkan dengan proxy penyimpanan kunci eksternal Anda, tetapi manajer kunci eksternal yang baru harus berupa cadangan atau snapshot dengan materi kunci yang sama. Jika kunci eksternal yang Anda kaitkan dengan kunci KMS tidak lagi tersedia untuk proxy penyimpanan kunci eksternal Anda, tidak AWS KMS dapat mendekripsi ciphertext yang dienkripsi dengan kunci KMS.

Manajer kunci eksternal harus dapat diakses oleh proxy penyimpanan kunci eksternal. Jika GetHealthStatusrespons dari proxy melaporkan bahwa semua instance pengelola kunci eksternal adalahUnavailable, semua upaya untuk membuat penyimpanan kunci eksternal gagal dengan file. XksProxyUriUnreachableException

Proksi penyimpanan kunci eksternal

Anda harus menentukan proxy penyimpanan kunci eksternal (proxy XKS) yang sesuai dengan persyaratan desain dalam Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal. Anda dapat mengembangkan atau membeli proxy penyimpanan kunci eksternal, atau menggunakan proxy penyimpanan kunci eksternal yang disediakan oleh atau dibangun ke dalam manajer kunci eksternal Anda. AWS KMSmerekomendasikan agar proxy penyimpanan kunci eksternal Anda dikonfigurasi untuk menangani hingga 1800 permintaan per detik dan merespons dalam batas waktu 250 milidetik untuk setiap permintaan. Kami menyarankan Anda menemukan manajer kunci eksternal dekat dengan Wilayah AWS sehingga waktu pulang-pergi jaringan (RTT) adalah 35 milidetik atau kurang.

Anda dapat menggunakan proxy penyimpanan kunci eksternal untuk lebih dari satu penyimpanan kunci eksternal, tetapi setiap penyimpanan kunci eksternal harus memiliki titik akhir dan jalur URI yang unik dalam proxy penyimpanan kunci eksternal untuk permintaannya.

Jika Anda menggunakan konektivitas layanan titik akhir VPC, Anda dapat menemukan proxy penyimpanan kunci eksternal di VPC Amazon Anda, tetapi itu tidak diperlukan. Anda dapat menemukan proxy Anda di luarAWS, seperti di pusat data pribadi Anda, dan menggunakan layanan titik akhir VPC hanya untuk berkomunikasi dengan proxy.

Kredensi otentikasi proxy

Untuk membuat penyimpanan kunci eksternal, Anda harus menentukan kredensi otentikasi proxy penyimpanan kunci eksternal Anda ()XksProxyAuthenticationCredential.

Anda harus membuat kredensi otentikasi (XksProxyAuthenticationCredential) untuk AWS KMS proxy penyimpanan kunci eksternal Anda. AWS KMSmengautentikasi proxy Anda dengan menandatangani permintaannya menggunakan proses Signature Version 4 (SigV4) dengan kredensi otentikasi proxy penyimpanan kunci eksternal. Anda menentukan kredensi otentikasi saat membuat penyimpanan kunci eksternal dan Anda dapat mengubahnya kapan saja. Jika proxy Anda memutar kredensi Anda, pastikan untuk memperbarui nilai kredensi untuk penyimpanan kunci eksternal Anda.

Kredensi otentikasi proxy memiliki dua bagian. Anda harus menyediakan kedua bagian untuk toko kunci eksternal Anda.

  • ID kunci akses: Mengidentifikasi kunci akses rahasia. Anda dapat memberikan ID ini dalam teks biasa.

  • Kunci akses rahasia: Bagian rahasia dari kredensi. AWS KMSmengenkripsi kunci akses rahasia di kredensi sebelum menyimpannya.

Kredensyal SigV4 yang AWS KMS digunakan untuk menandatangani permintaan ke proxy penyimpanan kunci eksternal tidak terkait dengan kredensyal SigV4 apa pun yang terkait dengan prinsip apa pun di akun Anda. AWS Identity and Access Management AWS Jangan gunakan kembali kredensi IAM SiGv4 apa pun untuk proxy penyimpanan kunci eksternal Anda.

Konektivitas proxy

Untuk membuat penyimpanan kunci eksternal, Anda harus menentukan opsi konektivitas proxy penyimpanan kunci eksternal Anda (XksProxyConnectivity).

AWS KMSdapat berkomunikasi dengan proxy penyimpanan kunci eksternal Anda dengan menggunakan titik akhir publik atau layanan titik akhir Amazon Virtual Private Cloud (Amazon VPC). Meskipun titik akhir publik lebih mudah untuk dikonfigurasi dan dipelihara, itu mungkin tidak memenuhi persyaratan keamanan untuk setiap instalasi. Jika Anda memilih opsi konektivitas layanan titik akhir VPC Amazon, Anda harus membuat dan memelihara komponen yang diperlukan, termasuk VPC Amazon dengan setidaknya dua subnet di dua Availability Zone yang berbeda, layanan titik akhir VPC dengan penyeimbang beban jaringan dan grup target, dan nama DNS pribadi untuk layanan titik akhir VPC.

Anda dapat mengubah opsi konektivitas proxy untuk penyimpanan kunci eksternal Anda. Namun, Anda harus memastikan bahwa ketersediaan berkelanjutan dari materi utama yang terkait dengan kunci KMS di toko kunci eksternal Anda. Jika tidak, AWS KMS tidak dapat mendekripsi ciphertext apa pun yang dienkripsi dengan kunci KMS tersebut.

Untuk bantuan menentukan opsi konektivitas proxy mana yang terbaik untuk penyimpanan kunci eksternal Anda, lihatMemilih opsi konektivitas proxy. Untuk bantuan membuat konfigurasi konektivitas layanan titik akhir VPC, lihat. Mengkonfigurasi konektivitas layanan titik akhir VPC

Titik akhir URI proxy

Untuk membuat penyimpanan kunci eksternal, Anda harus menentukan endpoint (XksProxyUriEndpoint) yang AWS KMS digunakan untuk mengirim permintaan ke proxy penyimpanan kunci eksternal.

Protokol harus HTTPS. AWS KMSberkomunikasi di port 443. Jangan tentukan port dalam nilai titik akhir URI proxy.

  • Konektivitas titik akhir publik - Tentukan titik akhir yang tersedia untuk umum untuk proxy penyimpanan kunci eksternal Anda. Titik akhir ini harus dapat dijangkau sebelum Anda membuat penyimpanan kunci eksternal Anda.

  • Konektivitas layanan titik akhir VPC — Tentukan https:// diikuti dengan nama DNS pribadi dari layanan titik akhir VPC.

Sertifikat server TLS yang dikonfigurasi pada proxy penyimpanan kunci eksternal harus cocok dengan nama domain di titik akhir URI proxy penyimpanan kunci eksternal dan dikeluarkan oleh otoritas sertifikat yang didukung untuk penyimpanan kunci eksternal. Untuk daftar, lihat Otoritas Sertifikat Tepercaya. Otoritas sertifikat Anda akan memerlukan bukti kepemilikan domain sebelum menerbitkan sertifikat TLS.

Nama umum subjek (CN) pada sertifikat TLS harus cocok dengan nama DNS pribadi. Misalnya, jika nama DNS pribadi adalahmyproxy-private.xks.example.com, CN pada sertifikat TLS harus atau. myproxy-private.xks.example.com *.xks.example.com

Anda dapat mengubah titik akhir URI proxy Anda, tetapi pastikan bahwa proxy penyimpanan kunci eksternal memiliki akses ke materi kunci yang terkait dengan kunci KMS di penyimpanan kunci eksternal Anda. Jika tidak, AWS KMS tidak dapat mendekripsi ciphertext apa pun yang dienkripsi dengan kunci KMS tersebut.

Persyaratan keunikan

  • Nilai endpoint (XksProxyUriEndpoint) dan proxy URI path () gabungan proxy URI (XksProxyUriPath) harus unik di Akun AWS dan Region.

  • Penyimpanan kunci eksternal dengan konektivitas titik akhir publik dapat berbagi titik akhir URI proxy yang sama, asalkan memiliki nilai jalur URI proxy yang berbeda.

  • Penyimpanan kunci eksternal dengan konektivitas titik akhir publik tidak dapat menggunakan nilai titik akhir URI proxy yang sama dengan penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC yang samaWilayah AWS, meskipun penyimpanan kunci berbeda. Akun AWS

  • Setiap penyimpanan kunci eksternal dengan konektivitas titik akhir VPC harus memiliki nama DNS pribadinya sendiri. Titik akhir URI proxy (nama DNS pribadi) harus unik di Akun AWS dan Wilayah.

Jalur URI proxy

Untuk membuat penyimpanan kunci eksternal, Anda harus menentukan jalur dasar di proxy penyimpanan kunci eksternal ke API proxy yang diperlukan. Nilai harus dimulai dengan / dan harus diakhiri dengan /kms/xks/v1 di mana v1 mewakili versi API untuk proxy penyimpanan kunci eksternal. AWS KMS Jalur ini dapat menyertakan awalan opsional antara elemen yang diperlukan seperti/example-prefix/kms/xks/v1. Untuk menemukan nilai ini, lihat dokumentasi untuk proxy penyimpanan kunci eksternal Anda.

AWS KMSmengirimkan permintaan proxy ke alamat yang ditentukan oleh penggabungan titik akhir URI proxy dan jalur URI proxy. Misalnya, jika titik akhir URI proxy https://myproxy.xks.example.com dan jalur URI proxy adalah/kms/xks/v1, AWS KMS kirimkan permintaan API proksi kehttps://myproxy.xks.example.com/kms/xks/v1.

Anda dapat mengubah jalur URI proxy Anda, tetapi pastikan bahwa proxy penyimpanan kunci eksternal memiliki akses ke materi kunci yang terkait dengan kunci KMS di penyimpanan kunci eksternal Anda. Jika tidak, AWS KMS tidak dapat mendekripsi ciphertext apa pun yang dienkripsi dengan kunci KMS tersebut.

Persyaratan keunikan

  • Nilai endpoint (XksProxyUriEndpoint) dan proxy URI path () gabungan proxy URI (XksProxyUriPath) harus unik di Akun AWS dan Region.

Layanan titik akhir VPC

Menentukan nama layanan endpoint Amazon VPC yang digunakan untuk berkomunikasi dengan proxy penyimpanan kunci eksternal Anda. Komponen ini hanya diperlukan untuk penyimpanan kunci eksternal yang menggunakan konektivitas layanan titik akhir VPC. Untuk bantuan menyiapkan dan mengonfigurasi layanan titik akhir VPC Anda untuk penyimpanan kunci eksternal, lihat. Mengkonfigurasi konektivitas layanan titik akhir VPC

Layanan titik akhir VPC harus memiliki properti berikut:

  • Layanan titik akhir VPC harus sama Akun AWS dan Wilayah sebagai penyimpanan kunci eksternal.

  • Ini harus memiliki penyeimbang beban jaringan (NLB) yang terhubung ke setidaknya dua subnet, masing-masing di Availability Zone yang berbeda.

  • Daftar prinsip izin untuk layanan titik akhir VPC harus menyertakan prinsip AWS KMS layanan untuk Wilayah:, seperti. cks.kms.<region>.amazonaws.com cks.kms.us-east-1.amazonaws.com

  • Itu tidak boleh memerlukan penerimaan permintaan koneksi.

  • Itu harus memiliki nama DNS pribadi dalam domain publik tingkat yang lebih tinggi. Misalnya, Anda dapat memiliki nama DNS pribadi myproxy-private.xks.example.com di domain publik. xks.example.com

    Nama DNS pribadi untuk penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC harus unik di dalamnya. Wilayah AWS

  • Status verifikasi domain domain nama DNS pribadi harusverified.

  • Sertifikat server TLS yang dikonfigurasi pada proxy penyimpanan kunci eksternal harus menentukan nama host DNS pribadi di mana titik akhir dapat dijangkau.

Persyaratan keunikan

  • Toko kunci eksternal dengan konektivitas titik akhir VPC dapat berbagiAmazon VPC, tetapi setiap toko kunci eksternal harus memiliki layanan titik akhir VPC sendiri dan nama DNS pribadi.

File konfigurasi proxy

File konfigurasi proxy adalah file berbasis JSON opsional yang berisi nilai untuk jalur URI proxy dan properti kredensi otentikasi proxy dari penyimpanan kunci eksternal Anda. Saat membuat atau mengedit penyimpanan kunci eksternal di AWS KMS konsol, Anda dapat mengunggah file konfigurasi proxy untuk menyediakan nilai konfigurasi untuk penyimpanan kunci eksternal Anda. Menggunakan file ini menghindari kesalahan pengetikan dan penyisipan, dan memastikan bahwa nilai di penyimpanan kunci eksternal Anda cocok dengan nilai di proxy penyimpanan kunci eksternal Anda.

File konfigurasi proxy dihasilkan oleh proxy penyimpanan kunci eksternal. Untuk mengetahui apakah proxy penyimpanan kunci eksternal Anda menawarkan file konfigurasi proxy, lihat dokumentasi proxy penyimpanan kunci eksternal Anda.

Berikut ini adalah contoh file konfigurasi proxy yang terbentuk dengan baik dengan nilai fiktif.

{
  "XksProxyUriPath": "/example-prefix/kms/xks/v1",
  "XksProxyAuthenticationCredential": {
    "AccessKeyId": "ABCDE12345670EXAMPLE",
    "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
  }
}

Anda dapat mengunggah file konfigurasi proxy hanya saat membuat atau mengedit penyimpanan kunci eksternal di AWS KMS konsol. Anda tidak dapat menggunakannya dengan UpdateCustomKeyStoreoperasi CreateCustomKeyStoreatau, tetapi Anda dapat menggunakan nilai dalam file konfigurasi proxy untuk memastikan bahwa nilai parameter Anda benar.

Buat toko kunci eksternal (konsol)

Sebelum membuat penyimpanan kunci eksternal, tinjauMerencanakan toko kunci eksternal, pilih jenis konektivitas proxy Anda, dan pastikan bahwa Anda telah membuat dan mengonfigurasi semua komponen yang diperlukan. Jika Anda memerlukan bantuan untuk menemukan salah satu nilai yang diperlukan, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau perangkat lunak manajemen kunci Anda.

catatan

Saat Anda membuat penyimpanan kunci eksternal diAWS Management Console, Anda dapat mengunggah file konfigurasi proxy berbasis JSON dengan nilai untuk jalur URI proxy dan kredensi otentikasi proxy. Beberapa proxy menghasilkan file ini untuk Anda. Hal ini tidak diperlukan.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Toko kunci khusus, Toko kunci eksternal.

  4. Pilih Buat toko kunci eksternal.

  5. Masukkan nama ramah untuk toko kunci eksternal. Nama harus unik di antara semua toko kunci eksternal di akun Anda.

    penting

    Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.

  6. Pilih jenis konektivitas proxy Anda.

    Pilihan konektivitas proxy Anda menentukan komponen yang diperlukan untuk proxy penyimpanan kunci eksternal Anda. Untuk bantuan membuat pilihan ini, lihatMemilih opsi konektivitas proxy.

  7. Pilih atau masukkan nama layanan titik akhir VPC untuk penyimpanan kunci eksternal ini. Langkah ini hanya muncul ketika jenis konektivitas proxy penyimpanan kunci eksternal Anda adalah layanan titik akhir VPC.

    Layanan titik akhir VPC dan VPC-nya harus memenuhi persyaratan untuk penyimpanan kunci eksternal. Untuk detailnya, lihat Memasang prasyarat.

  8. Masukkan titik akhir URI proxy Anda. Protokol harus HTTPS. AWS KMSberkomunikasi di port 443. Jangan tentukan port dalam nilai titik akhir URI proxy.

    Jika AWS KMS mengenali layanan titik akhir VPC yang Anda tentukan pada langkah sebelumnya, itu melengkapi bidang ini untuk Anda.

    Untuk konektivitas titik akhir publik, masukkan URI titik akhir yang tersedia untuk umum. Untuk konektivitas titik akhir VPC, masukkan https:// diikuti dengan nama DNS pribadi dari layanan titik akhir VPC.

  9. Untuk memasukkan nilai untuk awalan jalur URI proxy dan kredensi otentikasi proxy, unggah file konfigurasi proxy, atau masukkan nilai secara manual.

    • Jika Anda memiliki file konfigurasi proxy opsional yang berisi nilai untuk jalur URI proxy dan kredensi otentikasi proxy, pilih Unggah file konfigurasi. Ikuti langkah-langkah untuk mengunggah file.

      Saat file diunggah, konsol menampilkan nilai dari file di bidang yang dapat diedit. Anda dapat mengubah nilai sekarang atau mengedit nilai-nilai ini setelah penyimpanan kunci eksternal dibuat.

      Untuk menampilkan nilai kunci akses rahasia, pilih Tampilkan kunci akses rahasia.

    • Jika Anda tidak memiliki file konfigurasi proxy, Anda dapat memasukkan jalur URI proxy dan nilai kredensi otentikasi proxy secara manual.

      1. Jika Anda tidak memiliki file konfigurasi proxy, Anda dapat memasukkan URI proxy secara manual. Konsol menyediakan nilai /kms/xks/v1 yang diperlukan.

        Jika jalur URI proxy Anda menyertakan awalan opsional, seperti example-prefix in/example-prefix/kms/xks/v1, masukkan awalan di bidang awalan jalur Proxy URI. Jika tidak, biarkan bidang kosong.

      2. Jika Anda tidak memiliki file konfigurasi proxy, Anda dapat memasukkan kredensi otentikasi proxy Anda secara manual. Baik ID kunci akses dan kunci akses rahasia diperlukan.

        • Dalam kredensi proxy: ID kunci akses, masukkan ID kunci akses dari kredensi otentikasi proxy. ID kunci akses mengidentifikasi kunci akses rahasia.

        • Di Proxy credential: Secret Access Key, masukkan kunci akses rahasia dari kredensi otentikasi proxy.

        Untuk menampilkan nilai kunci akses rahasia, pilih Tampilkan kunci akses rahasia.

        Prosedur ini tidak mengatur atau mengubah kredensi otentikasi yang Anda buat pada proxy penyimpanan kunci eksternal Anda. Itu hanya mengaitkan nilai-nilai ini dengan toko kunci eksternal Anda. Untuk informasi tentang pengaturan, perubahan, dan kredensi autentikasi proxy yang berputar, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau perangkat lunak manajemen kunci.

        Jika kredensi otentikasi proxy Anda berubah, edit setelan kredensyal untuk penyimpanan kunci eksternal Anda.

  10. Pilih Buat toko kunci eksternal.

Ketika prosedur berhasil, toko kunci eksternal baru muncul dalam daftar toko kunci eksternal di akun dan wilayah. Jika prosedur gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat CreateKey kesalahan untuk kunci eksternal.

Berikutnya: Toko kunci eksternal baru tidak terhubung secara otomatis. Sebelum Anda dapat membuat AWS KMS keys di toko kunci eksternal Anda, Anda harus menghubungkan toko kunci eksternal ke proxy penyimpanan kunci eksternal.

Buat toko kunci eksternal (API)

Anda dapat menggunakan CreateCustomKeyStoreoperasi untuk membuat toko kunci eksternal baru. Untuk bantuan menemukan nilai untuk parameter yang diperlukan, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau perangkat lunak manajemen kunci.

Tip

Anda tidak dapat mengunggah file konfigurasi proxy saat menggunakan CreateCustomKeyStore operasi. Namun, Anda dapat menggunakan nilai dalam file konfigurasi proxy untuk memastikan bahwa nilai parameter Anda benar.

Untuk membuat penyimpanan kunci eksternal, CreateCustomKeyStore operasi memerlukan nilai parameter berikut.

  • CustomKeyStoreName— Nama ramah untuk toko kunci eksternal yang unik di akun.

    penting

    Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.

  • CustomKeyStoreType— TentukanEXTERNAL_KEY_STORE.

  • XksProxyConnectivity— Tentukan PUBLIC_ENDPOINT atauVPC_ENDPOINT_SERVICE.

  • XksProxyAuthenticationCredential— Tentukan ID kunci akses dan kunci akses rahasia.

  • XksProxyUriEndpoint— Titik akhir yang AWS KMS digunakan untuk berkomunikasi dengan proxy penyimpanan kunci eksternal Anda.

  • XksProxyUriPath— Jalur dalam proxy ke API proxy.

  • XksProxyVpcEndpointServiceName— Diperlukan hanya ketika XksProxyConnectivity nilai AndaVPC_ENDPOINT_SERVICE.

catatan

Jika Anda menggunakan AWS CLI versi 1.0, jalankan perintah berikut sebelum menentukan parameter dengan nilai HTTP atau HTTPS, seperti XksProxyUriEndpoint parameter.

aws configure set cli_follow_urlparam false

Jika tidak, AWS CLI versi 1.0 menggantikan nilai parameter dengan konten yang ditemukan di alamat URI tersebut, menyebabkan kesalahan berikut:

Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404

Contoh berikut menggunakan nilai fiktif. Sebelum menjalankan perintah, ganti dengan nilai yang valid untuk penyimpanan kunci eksternal Anda.

Buat toko kunci eksternal dengan konektivitas titik akhir publik.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStorePublic \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity PUBLIC_ENDPOINT \
        --xks-proxy-uri-endpoint https://myproxy.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

Buat toko kunci eksternal dengan konektivitas layanan titik akhir VPC.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStoreVPC \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
        --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
        --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

Saat operasi berhasil, CreateCustomKeyStore mengembalikan ID penyimpanan kunci kustom, seperti yang ditunjukkan dalam contoh tanggapan berikut.

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

Jika operasi gagal, perbaiki kesalahan yang ditunjukkan oleh pengecualian, dan coba lagi. Untuk bantuan tambahan, lihat Memecahkan masalah toko kunci eksternal.

Berikutnya: Untuk menggunakan penyimpanan kunci eksternal, sambungkan ke proxy penyimpanan kunci eksternal.