Creazione di un archivio delle chiavi esterne - AWS Key Management Service
Assemblare i prerequisitiFile di configurazione proxyCreazione di un archivio delle chiavi esterne (console)Creazione di un archivio delle chiavi esterne (API)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un archivio delle chiavi esterne

Puoi creare uno o più archivi delle chiavi esterne in ogni Account AWS e regione. Ogni archivio delle chiavi esterne deve essere associato a un gestore delle chiavi esterne al di fuori di AWS e a un proxy dell'archivio delle chiavi esterne (proxy XKS) che media la comunicazione tra AWS KMS e il gestore. Per informazioni dettagliate, vedi Pianificazione di un archivio delle chiavi esterne. Prima di iniziare, verifica che sia necessario un archivio delle chiavi esterne. La maggior parte dei clienti può utilizzare le chiavi KMS supportate da un materiale della chiave di AWS KMS.

Suggerimento

Alcuni gestori delle chiavi esterne offrono un metodo più semplice per creare un relativo archivio. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.

Prima di creare l'archivio delle chiavi esterne, devi assemblare i prerequisiti. Durante il processo di creazione, specifica le proprietà dell'archivio delle chiavi esterne. Indica in particolare se l'archivio delle chiavi esterne in AWS KMS utilizza un endpoint pubblico o un servizio endpoint VPC per connettersi al relativo proxy. Specifica inoltre i dettagli della connessione, tra cui l'endpoint URI del proxy e il percorso all'interno di tale endpoint proxy in cui AWS KMS invia le richieste API al proxy.

  • Se utilizzi la connettività dell'endpoint pubblico, assicurati che AWS KMS sia in grado di comunicare con il proxy su Internet utilizzando una connessione HTTPS. Ciò include la configurazione dell'autenticazione TLS sul proxy dell'archivio delle chiavi esterne e la garanzia che tutti i firewall tra AWS KMS e il proxy consentano il traffico da e verso la porta 443 del proxy. Durante la creazione di un archivio delle chiavi esterne con connettività dell'endpoint pubblico, AWS KMS verifica la connessione inviando una richiesta di stato al proxy dell'archivio delle chiavi esterne. Questo test verifica che l'endpoint sia raggiungibile e che il proxy accetti una richiesta firmata con le credenziali di autenticazione proxy dell'archivio delle chiavi esterne. Se tale richiesta di test fallisce, l'operazione di creazione dell'archivio delle chiavi esterne ha esito negativo.

  • Se utilizzi la connettività del servizio endpoint VPC, assicurati che il Network Load Balancer, il nome DNS privato e il servizio endpoint VPC siano operativi e configurati correttamente. Se il proxy dell'archivio delle chiavi esterne non si trova nel VPC, assicurati che il servizio endpoint VPC possa comunicare con il proxy dell'archivio delle chiavi esterne. AWS KMS verifica la connettività del servizio endpoint VPC quando si collega l'archivio delle chiavi esterne al relativo proxy.

Ulteriori considerazioni:

  • AWS KMSregistra i CloudWatch parametri e le dimensioni di Amazon, in particolare per gli archivi di chiavi esterni. I grafici di monitoraggio basati su alcuni di questi parametri vengono visualizzati nella console AWS KMS per ogni archivio delle chiavi esterne. Ti consigliamo di utilizzare questi parametri per creare allarmi in grado di monitorare tale archivio, in modo da poter rilevare eventuali segnali relativi a problemi operativi e prestazionali prima che si verifichino. Per istruzioni, consulta Monitoraggio di un archivio delle chiavi esterne.

  • Gli archivi delle chiavi esterne sono soggetti a quote di risorse. L'uso delle chiavi KMS in un archivio delle chiavi esterne è soggetto a quote di richieste. Esamina queste quote prima di progettare l'implementazione dell'archivio delle chiavi esterne.

Nota

Rivedi la tua configurazione per verificare eventuali dipendenze circolari che potrebbero impedirne il funzionamento.

Ad esempio, se crei il proxy dell'archivio di chiavi esterno utilizzando risorse AWS, accertati che il funzionamento del proxy non richieda la disponibilità di una chiave KMS in un archivio di chiavi esterno a cui si accede tramite tale proxy.

Tutti i nuovi archivi delle chiavi esterne vengono creati in uno stato disconnesso. Prima di poter creare chiavi KMS nell'archivio delle chiavi esterne, devi collegarlo al relativo proxy. Per modificare le proprietà dell'archivio delle chiavi esterne, modifica le impostazioni.

Assemblare i prerequisiti

Prima di creare un archivio delle chiavi esterne, devi assemblare i componenti necessari, tra cui il gestore delle chiavi esterne che verrà utilizzato per supportare l'archivio e il proxy dell'archivio delle chiavi esterne che traduce le richieste di AWS KMS in un formato comprensibile dal gestore.

I seguenti componenti sono necessari per tutti gli archivi delle chiavi esterne. Oltre a questi elementi, devi fornire anche i componenti necessari per supportare l'opzione di connettività proxy dell'archivio delle chiavi esterne scelta.

Suggerimento

Il gestore delle chiavi esterne potrebbe includere alcuni di questi componenti oppure potrebbero essere configurati automaticamente. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.

Se stai creando l'archivio delle chiavi esterne nella console AWS KMS, puoi scegliere di caricare un file di configurazione proxy basato su JSON che specifica il percorso URI proxy e le credenziali di autenticazione proxy. Alcuni proxy dell'archivio delle chiavi esterne generano automaticamente questo file. Per maggiori dettagli, consulta la documentazione relativa al proxy dell'archivio delle chiavi esterne o al gestore delle chiavi esterne.

Gestore delle chiavi esterne

Ogni archivio delle chiavi esterne richiede almeno un'istanza del gestore delle chiavi esterne. Può trattarsi di un modulo di sicurezza hardware (HSM) fisico o virtuale o di un software di gestione delle chiavi.

Sebbene sia possibile utilizzare un unico gestore delle chiavi, ti consigliamo di impiegare almeno due istanze correlate che condividono chiavi crittografiche per motivi di ridondanza. L'archivio delle chiavi esterne non richiede l'uso esclusivo del gestore delle chiavi esterne. Tuttavia, il gestore deve essere in grado di gestire la frequenza prevista delle richieste di crittografia e decrittografia provenienti dai servizi AWS che utilizzano le chiavi KMS nell'archivio delle chiavi esterne per proteggere le risorse. Il gestore delle chiavi esterne deve essere configurato per gestire fino a 1.800 richieste al secondo e per rispondere a ciascuna richiesta entro il timeout di 250 millisecondi. Ti consigliamo di posizionare il gestore delle chiavi esterne vicino a una Regione AWS, in modo che il tempo di andata e ritorno (RTT) della rete sia pari o inferiore a 35 millisecondi.

Se il proxy dell'archivio delle chiavi esterne lo consente, puoi modificare il gestore delle chiavi esterne associato al proxy, tuttavia il nuovo gestore deve essere un backup o uno snapshot con lo stesso materiale della chiave. Se la chiave esterna associata a una chiave KMS non è più disponibile per il proxy dell'archivio delle chiavi esterne, AWS KMS non è in grado di decrittografare il testo criptato con la chiave KMS.

Il gestore delle chiavi esterne deve essere accessibile al proxy dell'archivio delle chiavi esterne. Se la GetHealthStatusrisposta del proxy riporta che tutte le istanze esterne del gestore di chiavi lo sonoUnavailable, tutti i tentativi di creare un archivio di chiavi esterno falliscono con un. XksProxyUriUnreachableException

Proxy dell'archivio delle chiavi esterne

Devi specificare un proxy dell'archivio delle chiavi esterne (proxy XKS) conforme ai requisiti di progettazione della Specifica API relativa al proxy dell'archivio delle chiavi esterne di AWS KMS. Il proxy dell'archivio delle chiavi esterne può essere sviluppato o acquistato. In alternativa, puoi utilizzare il proxy fornito con il gestore delle chiavi esterne o integrato in esso. AWS KMS consiglia di configurare il proxy dell'archivio delle chiavi esterne in modo da gestire fino a 1.800 richieste al secondo e rispondere a ciascuna richiesta entro il timeout di 250 millisecondi. Ti consigliamo di posizionare il gestore delle chiavi esterne vicino a una Regione AWS, in modo che il tempo di andata e ritorno (RTT) della rete sia pari o inferiore a 35 millisecondi.

Puoi utilizzare un proxy dell'archivio delle chiavi esterne per più archivi, ma ogni archivio deve disporre di un endpoint URI univoco e di un percorso all'interno del proxy dell'archivio delle chiavi esterne per le relative richieste.

Se utilizzi la connettività del servizio endpoint VPC, puoi collocare il proxy dell'archivio delle chiavi esterne in Amazon VPC, ma ciò non è necessario. Il proxy può trovarsi anche al di fuori di AWS, ad esempio nel data center privato, e utilizzare il servizio endpoint VPC solo per comunicare con il proxy.

Credenziali di autenticazione proxy

Per creare un archivio delle chiavi esterne, devi specificare le credenziali di autenticazione proxy dell'archivio (XksProxyAuthenticationCredential).

Devi stabilire le credenziali di autenticazione (XksProxyAuthenticationCredential) per AWS KMS nel proxy dell'archivio delle chiavi esterne. AWS KMS esegue l'autenticazione al proxy firmando le relative richieste tramite il processo Signature Version 4 (SIGv4) con le credenziali di autenticazione proxy dell'archivio delle chiavi esterne. Puoi specificare le credenziali di autenticazione durante la creazione dell'archivio delle chiavi esterne e modificarle in qualsiasi momento. Se il proxy effettua la rotazione delle credenziali, assicurati di aggiornare i valori delle credenziali per l'archivio delle chiavi esterne.

Le credenziali di autenticazione proxy sono composte da due parti. Per l'archivio delle chiavi esterne, devi fornire entrambe.

  • ID chiave di accesso: identifica la chiave di accesso segreta. Puoi fornire questo ID come testo non crittografato.

  • Chiave di accesso segreta: la parte segreta delle credenziali. AWS KMS crittografa la chiave di accesso segreta nelle credenziali prima di archiviarla.

Le credenziali SigV4 utilizzate da AWS KMS per firmare le richieste al proxy dell'archivio delle chiavi esterne non sono correlate alle credenziali SIGv4 associate ai principali AWS Identity and Access Management negli account AWS. Non riutilizzare le credenziali SigV4 IAM per il proxy dell'archivio delle chiavi esterne.

Connettività proxy

Per creare un archivio delle chiavi esterne, devi specificare l'opzione di connettività proxy (XksProxyConnectivity).

AWS KMS può comunicare con il proxy dell'archivio delle chiavi esterne utilizzando un endpoint pubblico o un servizio endpoint Amazon Virtual Private Cloud (Amazon VPC). Sebbene un endpoint pubblico sia più semplice da configurare e gestire, potrebbe non soddisfare i requisiti di sicurezza per ogni installazione. Se scegli l'opzione di connettività del servizio endpoint Amazon VPC, devi creare e gestire i componenti richiesti, tra cui un Amazon VPC con almeno due sottoreti in due diverse zone di disponibilità, un servizio endpoint VPC con un Network Load Balancer e un gruppo di destinazione e un nome DNS privato per il servizio endpoint VPC.

Puoi modificare l'opzione di connettività proxy dell'archivio delle chiavi esterne. Tuttavia, devi assicurarti che il materiale della chiave associato alle chiavi KMS sia sempre disponibile nell'archivio. In caso contrario, AWS KMS non è in grado di decrittografare il testo criptato crittografato con tali chiavi KMS.

Per informazioni relative all'opzione di connettività proxy migliore per l'archivio delle chiavi esterne, consulta Scelta di un'opzione di connettività proxy. Per informazioni sulla creazione e sulla configurazione della connettività del servizio endpoint VPC, consulta Configurazione della connettività del servizio endpoint VPC.

Endpoint dell'URI proxy

Per creare un archivio delle chiavi esterne, devi specificare l'endpoint (XksProxyUriEndpoint) utilizzato da AWS KMS per inviare richieste al proxy dell'archivio delle chiavi esterne.

Il protocollo deve essere HTTPS. AWS KMS comunica sulla porta 443. Non specificare la porta nel valore dell'endpoint URI proxy.

Il certificato del server TLS configurato sul proxy dell'archivio delle chiavi esterne deve corrispondere al nome di dominio nell'endpoint URI proxy ed essere emesso da un'autorità di certificazione supportata per gli archivi delle chiavi esterne. Per un elenco, consulta Autorità di certificazione attendibili. L'autorità di certificazione richiederà una prova della proprietà del dominio prima di emettere il certificato TLS.

Il nome comune del soggetto (CN) sul certificato TLS deve corrispondere al nome DNS privato. Ad esempio, se il nome DNS privato è myproxy-private.xks.example.com, il CN sul certificato TLS deve essere myproxy-private.xks.example.com o *.xks.example.com.

Puoi modificare l'endpoint dell'URI proxy, tuttavia devi assicurarti che il proxy dell'archivio delle chiavi esterne abbia accesso al materiale della chiave associato alle chiavi KMS nell'archivio. In caso contrario, AWS KMS non è in grado di decrittografare il testo criptato crittografato con tali chiavi KMS.

Requisiti di unicità

  • Il valore combinato di endpoint dell'URI proxy (XksProxyUriEndpoint) e percorso URI proxy (XksProxyUriPath) deve essere univoco nel tuo Account AWS e nella regione.

  • Gli archivi delle chiavi esterne con connettività dell'endpoint pubblico possono condividere lo stesso endpoint URI proxy, a condizione che abbiano valori diversi per il percorso URI proxy.

  • Un archivio delle chiavi esterne con connettività dell'endpoint pubblico non può utilizzare lo stesso valore dell'endpoint URI proxy di qualsiasi dell'endpoint pubblico con connettività del servizio endpoint VPC nella stessa Regione AWS, anche se gli archivi delle chiavi di trovano in diversi Account AWS.

  • Ogni archivio delle chiavi esterne con connettività all'endpoint VPC deve avere il proprio nome DNS privato. L'endpoint URI proxy (nome DNS privato) deve essere univoco nella regione e nell'Account AWS.

Percorso URI proxy

Per creare un archivio delle chiavi esterne, devi specificare il percorso di base nel proxy dell'archivio verso le API proxy necessarie. Il valore deve iniziare con / e terminare con /kms/xks/v1, dove v1 rappresenta la versione dell'API AWS KMS per il proxy dell'archivio delle chiavi esterne. Questo percorso può includere un prefisso facoltativo tra gli elementi richiesti, ad esempio /example-prefix/kms/xks/v1. Per trovare questo valore, consulta la documentazione del proxy dell'archivio delle chiavi esterne.

AWS KMS invia richieste proxy all'indirizzo specificato dalla concatenazione dell'endpoint URI proxy e del percorso URI proxy. Ad esempio, se l'endpoint dell'URI proxy è https://myproxy.xks.example.com e il percorso URI proxy è /kms/xks/v1, AWS KMS invia le relative richieste API proxy a https://myproxy.xks.example.com/kms/xks/v1.

Puoi modificare il percorso URI proxy, tuttavia devi assicurarti che il proxy dell'archivio delle chiavi esterne abbia accesso al materiale della chiave associato alle chiavi KMS nell'archivio. In caso contrario, AWS KMS non è in grado di decrittografare il testo criptato crittografato con tali chiavi KMS.

Requisiti di unicità

  • Il valore combinato di endpoint dell'URI proxy (XksProxyUriEndpoint) e percorso URI proxy (XksProxyUriPath) deve essere univoco nel tuo Account AWS e nella regione.

Servizio endpoint VPC

Specifica il nome del servizio endpoint Amazon VPC utilizzato per comunicare con il proxy dell'archivio delle chiavi esterne. Questo componente è richiesto solo per gli archivi delle chiavi esterne che utilizzano la connettività del servizio endpoint VPC. Per informazioni sull'impostazione e sulla configurazione del servizio endpoint VPC per un archivio delle chiavi esterne, consulta Configurazione della connettività del servizio endpoint VPC.

Il servizio endpoint VPC deve avere le seguenti proprietà:

  • Il servizio endpoint VPC deve trovarsi nello stesso Account AWS e nella stessa regione dell'archivio delle chiavi esterne.

  • Deve avere un Network Load Balancer (NLB) connesso ad almeno due sottoreti, ognuna in una zona di disponibilità diversa.

  • L'elenco dei principali consentiti per il servizio endpoint VPC deve includere il principale del servizio AWS KMS per la regione cks.kms.<region>.amazonaws.com, ad esempio cks.kms.us-east-1.amazonaws.com.

  • Non deve richiedere l'accettazione delle richieste di connessione.

  • Deve avere un nome DNS privato all'interno di un dominio pubblico di livello superiore. Ad esempio, potresti avere un nome DNS privato myproxy-private.xks.example.com nel dominio xks.example.com pubblico.

    Il nome DNS privato per un archivio delle chiavi esterne con connettività del servizio endpoint VPC deve essere univoco nella Regione AWS.

  • Lo stato di verifica del dominio per il dominio del nome DNS privato deve essere verified.

  • Il certificato del server TLS configurato sul proxy dell'archivio delle chiavi esterne deve indicare il nome host DNS privato in cui l'endpoint è raggiungibile.

Requisiti di unicità

  • Gli archivi delle chiavi esterne con connettività all'endpoint VPC possono condividere un Amazon VPC, ma ogni archivio deve avere il proprio servizio endpoint VPC e il proprio nome DNS privato.

File di configurazione proxy

Un file di configurazione proxy è un file facoltativo basato su JSON che contiene valori per le proprietà del percorso URI proxy e delle credenziali di autenticazione proxy dell'archivio delle chiavi esterne. Quando crei o modifichi un archivio delle chiavi esterne nella console AWS KMS, puoi caricare un file di configurazione proxy per fornire i valori di configurazione dell'archivio. L'utilizzo di questo file consente di evitare errori correlati alle operazioni di digitazione e di copia e incolla, garantendo che i valori nell'archivio delle chiavi esterne corrispondano ai valori del relativo proxy.

I file di configurazione proxy vengono generati dal proxy dell'archivio delle chiavi esterne. Per scoprire se il proxy dell'archivio delle chiavi esterne offre un file di configurazione proxy, consulta la relativa documentazione.

Di seguito è riportato un esempio di un file di configurazione proxy ben formato con valori fittizi.

{
  "XksProxyUriPath": "/example-prefix/kms/xks/v1",
  "XksProxyAuthenticationCredential": {
    "AccessKeyId": "ABCDE12345670EXAMPLE",
    "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
  }
}

Puoi caricare un file di configurazione proxy solo durante la creazione o la modifica di un archivio delle chiavi esterne nella console AWS KMS. Non è possibile utilizzarlo con le UpdateCustomKeyStoreoperazioni CreateCustomKeyStoreo, ma è possibile utilizzare i valori nel file di configurazione del proxy per garantire che i valori dei parametri siano corretti.

Creazione di un archivio delle chiavi esterne (console)

Prima di creare un archivio delle chiavi esterne, rivedi la sezione Pianificazione di un archivio delle chiavi esterne, scegli il tipo di connettività proxy e assicurati di aver creato e configurato tutti i componenti richiesti. Se hai bisogno di aiuto per trovare uno dei valori richiesti, consulta la documentazione del proxy dell'archivio delle chiavi esterne o del software di gestione delle chiavi.

Nota

Quando crei un archivio delle chiavi esterne nella AWS Management Console, puoi caricare un file di configurazione proxy basato su JSON con i valori per il percorso URI proxy e le credenziali di autenticazione proxy. Alcuni proxy generano automaticamente questo file, ma non è obbligatorio.

  1. Accedi alla AWS Management Console e apri la console AWS Key Management Service (AWS KMS) all'indirizzo https://console.aws.amazon.com/kms.

  2. Per modificare la Regione AWS, utilizza il Selettore di regione nell'angolo in alto a destra della pagina.

  3. Nel pannello di navigazione, scegli Custom key stores (Archivi delle chiavi personalizzate), External key stores (Archivi delle chiavi esterne).

  4. Scegli Create external key store (Crea archivio delle chiavi esterne).

  5. Immetti un nome descrittivo per l'archivio delle chiavi esterne. Il nome deve essere univoco tra tutti gli archivi delle chiavi esterne nel tuo account.

    Importante

    Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei CloudTrail log e in altri output.

  6. Scegli il tipo di connettività proxy.

    La scelta della connettività proxy determina i componenti necessari per il proxy dell'archivio delle chiavi esterne. Per assistenza durante la scelta, consulta Scelta di un'opzione di connettività proxy.

  7. Scegli o inserisci il nome del servizio endpoint VPC per questo archivio delle chiavi esterne. Questo passaggio viene visualizzato solo quando il tipo di connettività proxy è servizio endpoint VPC.

    Il servizio endpoint VPC e i relativi VPC devono soddisfare i requisiti per un archivio delle chiavi esterne. Per informazioni dettagliate, vedi Assemblare i prerequisiti.

  8. Inserisci l'endpoint URI proxy. Il protocollo deve essere HTTPS. AWS KMS comunica sulla porta 443. Non specificare la porta nel valore dell'endpoint URI proxy.

    Se AWS KMS riconosce il servizio endpoint VPC specificato nel passaggio precedente, completa automaticamente questo campo.

    Per la connettività dell'endpoint pubblico, inserisci un URI endpoint disponibile pubblicamente. Per la connettività dell'endpoint VPC, inserisci https:// seguito dal nome DNS privato del servizio endpoint VPC.

  9. Per inserire i valori relativi al prefisso del percorso URI proxy e le credenziali di autenticazione proxy, carica un file di configurazione proxy o inserisci i valori manualmente.

    • Se disponi di un file di configurazione proxy facoltativo che contiene i valori del percorso URI proxy e delle credenziali di autenticazione proxy, scegli Upload configuration file (Carica file di configurazione). Segui le istruzioni per caricare il file.

      Quando il file viene caricato, la console visualizza i valori del file in campi modificabili. Puoi modificare i valori in questo momento o modificarli dopo la creazione dell'archivio delle chiavi esterne.

      Per visualizzare il valore della chiave di accesso segreta, scegli Show secret access key (Mostra chiave di accesso segreta).

    • Se non hai a disposizione un file di configurazione proxy, puoi inserire manualmente i valori del percorso URI proxy e delle credenziali di autenticazione proxy.

      1. Se non disponi di un file di configurazione proxy, puoi inserire l'URI proxy manualmente. La console fornisce il valore /kms/xks/v1 richiesto.

        Se il percorso URI proxy comprende un prefisso facoltativo, ad esempio example-prefix in /example-prefix/kms/xks/v1, inseriscilo nel campo Proxy URI path prefix (Prefisso del percorso URI proxy). In caso contrario, lascia vuoto il campo.

      2. Se non disponi di un file di configurazione proxy, puoi inserire le credenziali di autenticazione proxy manualmente. Sono necessari sia l'ID chiave di accesso che la chiave di accesso segreta.

        • In Proxy credential: Access key ID (Credenziali proxy: ID chiave di accesso), inserisci l'ID chiave di accesso delle credenziali di autenticazione proxy. L'ID della chiave di accesso identifica la chiave di accesso segreta.

        • In Proxy credential: Secret access key (Credenziali proxy: chiave di accesso segreta), inserisci la chiave di accesso segreta delle credenziali di autenticazione proxy.

        Per visualizzare il valore della chiave di accesso segreta, scegli Show secret access key (Mostra chiave di accesso segreta).

        Questa procedura non imposta o modifica le credenziali di autenticazione stabilite sul proxy dell'archivio delle chiavi esterne, ma associa semplicemente tali valori all'archivio. Per informazioni sull'impostazione, la modifica e la rotazione delle credenziali di autenticazione proxy, consulta la documentazione del proxy dell'archivio delle chiavi esterne o del software di gestione delle chiavi.

        Se le credenziali di autenticazione proxy cambiano, modifica l'impostazione delle credenziali per l'archivio delle chiavi esterne.

  10. Scegli Create external key store (Crea archivio delle chiavi esterne).

Quando la procedura ha esito positivo, il nuovo archivio delle chiavi esterne viene visualizzato nell'elenco degli archivi delle chiavi esterne dell'account e della regione. Se ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta CreateKey errori per la chiave esterna.

Successivo: i nuovi archivi delle chiavi esterne non sono connessi automaticamente. Prima di poter creare le AWS KMS keys nell'archivio delle chiavi esterne, devi connettere l'archivio delle chiavi esterne al relativo proxy.

Creazione di un archivio delle chiavi esterne (API)

È possibile utilizzare l'CreateCustomKeyStoreoperazione per creare un nuovo archivio di chiavi esterno. Per assistenza nell'individuazione dei valori per i parametri richiesti, consulta la documentazione del proxy dell'archivio delle chiavi esterne o del software di gestione delle chiavi.

Suggerimento

Non puoi caricare un file di configurazione proxy quando utilizzi l'operazione CreateCustomKeyStore. Tuttavia, puoi utilizzare i valori presenti nel file di configurazione proxy per assicurarti che i valori dei parametri siano corretti.

Per creare un archivio delle chiavi esterne, l'operazione CreateCustomKeyStore richiede i valori di parametro seguenti.

  • CustomKeyStoreName: un nome descrittivo per l'archivio delle chiavi esterne univoco nell'account.

    Importante

    Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei CloudTrail log e in altri output.

  • CustomKeyStoreType: specifica EXTERNAL_KEY_STORE.

  • XksProxyConnectivity: specifica PUBLIC_ENDPOINT o VPC_ENDPOINT_SERVICE.

  • XksProxyAuthenticationCredential: specifica sia l'ID chiave di accesso che la chiave di accesso segreta.

  • XksProxyUriEndpoint: l'endpoint utilizzato da AWS KMS per comunicare con il proxy dell'archivio delle chiavi esterne.

  • XksProxyUriPath: il percorso all'interno del proxy verso le API proxy.

  • XksProxyVpcEndpointServiceName: obbligatorio solo quando il valore di XksProxyConnectivity è VPC_ENDPOINT_SERVICE.

Nota

Se utilizzi AWS CLI versione 1.0, esegui il comando seguente prima di specificare un parametro con un valore HTTP o HTTPS, ad esempio il parametro XksProxyUriEndpoint.

aws configure set cli_follow_urlparam false

In caso contrario, AWS CLI versione 1.0 sostituisce il valore del parametro con il contenuto trovato in tale indirizzo URI, causando il seguente errore:

Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404

Gli esempi seguenti utilizzano valori fittizi. Prima di eseguire il comando, sostituiscili con valori validi per l'archivio delle chiavi esterne.

Crea un archivio delle chiavi esterne con connettività dell'endpoint pubblico.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStorePublic \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity PUBLIC_ENDPOINT \
        --xks-proxy-uri-endpoint https://myproxy.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

Crea un archivio delle chiavi esterne con connettività del servizio endpoint VPC.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStoreVPC \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
        --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
        --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

Se l'operazione riesce, CreateCustomKeyStore restituisce l'ID store chiavi personalizzate, come illustrato nel seguente esempio di risposta.

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

Se l'operazione ha esito negativo, correggi l'errore indicato dall'eccezione e riprova. Per ulteriori informazioni, consulta Risoluzione dei problemi relativi all'archivio delle chiavi esterne.

Successivo: Per utilizzare l'archivio delle chiavi esterne, connettilo al relativo proxy dell'archivio delle chiavi esterne.