Scegli un'opzione di connettività proxy per l'archivio di chiavi esterno - AWS Key Management Service
Connettività dell'endpoint pubblicoVPCconnettività dei servizi endpoint

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scegli un'opzione di connettività proxy per l'archivio di chiavi esterno

Prima di creare l'archivio di chiavi esterno, scegliete l'opzione di connettività che determina il modo in cui AWS KMS comunica con i componenti dell'archivio chiavi esterno. L'opzione di connettività scelta determina il resto del processo di pianificazione.

Se state creando un archivio di chiavi esterno, dovete determinare in che modo AWS KMS comunica con il proxy dell'archivio chiavi esterno. Questa scelta determinerà quali componenti sono necessari e come configurarli. AWS KMS supporta le seguenti opzioni di connettività. Scegli l'opzione che soddisfa gli obiettivi di prestazioni e sicurezza.

Prima di iniziare, verifica che sia necessario un archivio delle chiavi esterne. La maggior parte dei clienti può utilizzare KMS chiavi supportate da materiale AWS KMS chiave.

Nota

Se il proxy dell'archivio delle chiavi esterne è integrato nel gestore delle chiavi esterne, la connettività potrebbe essere predeterminata. Per informazioni, consulta la documentazione del gestore delle chiavi esterne o del proxy dell'archivio delle chiavi esterne.

Puoi modificare l'opzione di connettività proxy dell'archivio delle chiavi esterne anche su un archivio delle chiavi esterne operativo. Tuttavia, il processo deve essere pianificato ed eseguito con cura per ridurre al minimo le interruzioni, evitare errori e garantire l'accesso continuo alle chiavi crittografiche che crittografano i dati.

Connettività dell'endpoint pubblico

AWS KMS si connette al proxy di archiviazione delle chiavi esterno (XKSproxy) su Internet utilizzando un endpoint pubblico.

Questa opzione di connettività è molto semplice da configurare e gestire e si allinea bene con alcuni modelli di gestione delle chiavi. Tuttavia, potrebbe non soddisfare i requisiti di sicurezza di alcune organizzazioni.

Connettività dell'endpoint pubblico

Requisiti

Se scegli la connettività all'endpoint pubblico, è necessario quanto segue.

  • Il proxy dell'archivio delle chiavi esterne deve essere raggiungibile da un endpoint indirizzabile pubblicamente.

  • È possibile utilizzare lo stesso endpoint pubblico per più archivi di chiavi esterni, a condizione che utilizzino valori di URIpercorso proxy diversi.

  • Non è possibile utilizzare lo stesso endpoint per un archivio di chiavi esterno con connettività endpoint pubblica e qualsiasi archivio di chiavi esterno con connettività ai servizi VPC endpoint nello stesso archivio Regione AWS, anche se gli archivi di chiavi si trovano in archivi diversi. Account AWS

  • È necessario ottenere un TLS certificato emesso da un'autorità di certificazione pubblica supportata per gli archivi di chiavi esterni. Per un elenco, consulta Autorità di certificazione attendibili.

    Il nome comune dell'oggetto (CN) sul TLS certificato deve corrispondere al nome di dominio nell'URIendpoint proxy per il proxy dell'archivio chiavi esterno. Ad esempio, se l'endpoint pubblico èhttps://myproxy.xks.example.com, ilTLS, il CN sul TLS certificato deve essere myproxy.xks.example.com o. *.xks.example.com

  • Assicurati che tutti i firewall tra AWS KMS e il proxy di archiviazione delle chiavi esterno consentano il traffico da e verso la porta 443 sul proxy. AWS KMS comunica sulla porta 443. Questo valore non è configurabile.

Per informazioni su tutti i requisiti di un archivio delle chiavi esterne, consulta Assemblare i prerequisiti.

VPCconnettività dei servizi endpoint

AWS KMS si connette al proxy di archiviazione chiavi esterno (XKSproxy) creando un endpoint di interfaccia verso un servizio VPC endpoint Amazon creato e configurato da te. Sei responsabile della creazione del servizio VPC endpoint e della connessione VPC al tuo gestore di chiavi esterno.

Il servizio endpoint può utilizzare tutte le network-to-AmazonVPCopzioni supportate per le comunicazioni, tra cui. AWS Direct Connect

Questa opzione di connettività è più complessa da configurare e gestire. Ma utilizza AWS PrivateLink, il che consente di AWS KMS connettersi privatamente ad Amazon VPC e al proxy di archiviazione chiavi esterno senza utilizzare la rete Internet pubblica.

Puoi localizzare il tuo proxy di archiviazione delle chiavi esterno in AmazonVPC.

VPCconnettività del servizio endpoint: XKS proxy integrato nel tuo VPC

Oppure, individua il tuo proxy di archiviazione delle chiavi esterno all'esterno AWS e utilizza il servizio di VPC endpoint Amazon solo per comunicazioni sicure con AWS KMS.

VPCconnettività del servizio endpoint: XKS proxy esterno a AWS

Ulteriori informazioni:

  • Rivedi il processo di creazione di un archivio delle chiavi esterne, incluso l'assemblaggio dei prerequisiti. Ti aiuterà a verificare di disporre di tutti i componenti necessari per la creazione dell'archivio delle chiavi esterne.

  • Scopri come controllare l'accesso all'archivio delle chiavi esterne, comprese le autorizzazioni richieste dagli amministratori e dagli utenti dell'archivio.

  • Scopri le CloudWatch metriche e le dimensioni di Amazon registrate per gli AWS KMS archivi di chiavi esterni. Ti consigliamo di creare allarmi per monitorare l'archivio delle chiavi esterne, in modo da poter rilevare fin dal principio eventuali segnali relativi a problemi operativi e prestazionali.