Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione della connettività del servizio endpoint VPC
Utilizza le linee guida in questa sezione per creare e configurare le risorse AWS e i componenti correlati necessari per un archivio delle chiavi esterne che utilizza la connettività del servizio endpoint VPC. Le risorse elencate per questa opzione di connettività sono un supplemento alle risorse necessarie per tutti gli archivi delle chiavi esterne. Dopo aver creato e configurato le risorse necessarie, puoi creare l'archivio delle chiavi esterne.
Puoi posizionare il proxy dell'archivio delle chiavi esterne in Amazon VPC o al di fuori di AWS e utilizzare il servizio endpoint VPC per la comunicazione.
Prima di iniziare, verifica che sia necessario un archivio delle chiavi esterne. La maggior parte dei clienti può utilizzare le chiavi KMS supportate da un materiale della chiave di AWS KMS.
Nota
Alcuni degli elementi necessari per la connettività del servizio endpoint VPC potrebbero essere inclusi nel gestore delle chiavi esterne. Inoltre, il software potrebbe avere requisiti di configurazione aggiuntivi. Prima di creare e configurare le risorse AWS presenti in questa sezione, consulta la documentazione del proxy e del gestore delle chiavi.
Argomenti
- Requisiti per la connettività del servizio endpoint VPC
- Creazione di un Amazon VPC e delle sottoreti
- Creazione di un gruppo di destinazione
- Creazione di un Network Load Balancer
- Creazione di un servizio endpoint VPC
- Verifica del dominio del nome DNS privato
- Autorizzazione di AWS KMS alla connessione al servizio endpoint VPC
Requisiti per la connettività del servizio endpoint VPC
Se scegli la connettività del servizio endpoint VPC per l'archivio delle chiavi esterne, sono necessarie le seguenti risorse.
Per ridurre al minimo la latenza di rete, crea i componenti AWS nella Regione AWS supportata più vicina al gestore delle chiavi esterne. Se possibile, scegli una regione con un tempo di andata e ritorno (RTT) della rete di 35 millisecondi o meno.
-
Un Amazon VPC collegato al gestore delle chiavi esterne. Deve avere almeno due sottoreti private in due zone di disponibilità diverse.
Puoi utilizzare un Amazon VPC esistente, a condizione che soddisfi i requisiti per l'utilizzo con un archivio delle chiavi esterne. Più archivi delle chiavi esterne possono condividere un Amazon VPC, ma ogni archivio deve avere il proprio servizio endpoint VPC e il proprio nome DNS privato.
-
Un servizio endpoint Amazon VPC basato su un AWS PrivateLink con un Network Load Balancer e un gruppo di destinazione.
Il servizio endpoint non può richiedere l'accettazione. Inoltre, devi aggiungere AWS KMS come principale consentito. In questo modo, AWS KMS è in grado di creare endpoint di interfaccia che gli consentono di comunicare con il proxy dell'archivio delle chiavi esterne.
-
Un nome DNS privato per il servizio endpoint VPC univoco nella Regione AWS.
Il nome DNS privato deve essere un sottodominio di un dominio pubblico di livello superiore. Ad esempio, se il nome DNS privato è
myproxy-private.xks.example.com, deve essere un sottodominio di un dominio pubblico comexks.example.comoexample.com.Devi verificare la proprietà del dominio DNS per il nome DNS privato.
-
Un certificato TLS emesso da un'autorità di certificazione pubblica supportata
per il proxy dell'archivio delle chiavi esterne. Il nome comune del soggetto (CN) sul certificato TLS deve corrispondere al nome DNS privato. Ad esempio, se il nome DNS privato è
myproxy-private.xks.example.com, il CN sul certificato TLS deve esseremyproxy-private.xks.example.como*.xks.example.com.
Per informazioni su tutti i requisiti di un archivio delle chiavi esterne, consulta Assemblare i prerequisiti.
Creazione di un Amazon VPC e delle sottoreti
La connettività del servizio endpoint VPC richiede un Amazon VPC connesso al gestore delle chiavi esterne con almeno due sottoreti private. Puoi creare un Amazon VPC o utilizzarne uno esistente che soddisfi i requisiti per gli archivi delle chiavi esterne. Per informazioni sulla creazione di un nuovo Amazon VPC, consulta Creazione di un VPC nella Guida per l'utente di Amazon Virtual Private Cloud.
Requisiti per Amazon VPC
Per lavorare con gli archivi delle chiavi esterne tramite la connettività del servizio endpoint VPC, Amazon VPC deve avere le seguenti proprietà:
-
Deve trovarsi nello stesso Account AWS e nella stessa regione supportata dell'archivio delle chiavi esterne.
-
Richiede almeno due sottoreti private, ognuna in una zona di disponibilità diversa.
-
L'intervallo di indirizzi IP privati di Amazon VPC non deve sovrapporsi all'intervallo di indirizzi IP privati del data center che ospita il gestore delle chiavi esterne.
-
Tutti i componenti devono utilizzare IPv4.
Le opzioni per connettere Amazon VPC al proxy dell'archivio delle chiavi esterne sono molteplici. Scegli un'opzione che soddisfi le tue esigenze di prestazioni e sicurezza. Per un elenco, consulta Connetti il tuo VPC ad altre reti e Opzioni di connettività da rete ad Amazon VPC. Per ulteriori dettagli, consulta AWS Direct Connect e la Guida per l'utente di AWS Site-to-Site VPN.
Creazione di un Amazon VPC per l'archivio delle chiavi esterne
Utilizza le istruzioni seguenti per creare un Amazon VPC per l'archivio delle chiavi esterne. Un Amazon VPC è necessario solo se scegli l'opzione di connettività del servizio endpoint VPC. Puoi utilizzare un Amazon VPC esistente, a condizione che soddisfi i requisiti di un archivio delle chiavi esterne.
Segui le istruzioni nell'argomento Creazione di VPC, sottoreti e altre risorse VPC utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.
| Campo | Valore |
|---|---|
| IPv4 CIDR block (Blocco CIDR IPv4) | Inserisci gli indirizzi IP per il VPC. L'intervallo di indirizzi IP privati di Amazon VPC non deve sovrapporsi all'intervallo di indirizzi IP privati del data center che ospita il gestore delle chiavi esterne. |
| Numero di zone di disponibilità (AZ) | 2 o più |
| Numero di sottoreti pubbliche |
Non è necessario indicare alcun valore (0) |
| Numero di sottoreti private | Una per ogni zona di disponibilità |
| Gateway NAT | Non è necessario indicare alcun valore. |
| Endpoint VPC | Non è necessario indicare alcun valore. |
| Enable DNS hostnames (Abilita hostname DNS) | Sì |
| Abilita risoluzione DNS | Sì |
Assicurati di testare la comunicazione VPC. Ad esempio, se il proxy dell'archivio delle chiavi esterne non si trova nel tuo Amazon VPC, crea un'istanza Amazon EC2 in Amazon VPC e verifica che Amazon VPC sia in grado di comunicare con il proxy dell'archivio delle chiavi esterne.
Connessione del VPC al gestore delle chiavi esterne
Connetti il VPC al data center che ospita il gestore delle chiavi esterne utilizzando una delle opzioni di connettività di rete supportate da Amazon VPC. Assicurati che l'istanza Amazon EC2 nel VPC (o il proxy dell'archivio delle chiavi esterne nel caso in cui si trovi nel VPC) sia in grado di comunicare con il data center e il gestore delle chiavi esterne.
Creazione di un gruppo di destinazione
Prima di creare il servizio endpoint VPC richiesto, crea i componenti necessari, vale a dire un Network Load Balancer e un gruppo di destinazione. Il Network Load Balancer distribuisce le richieste tra più destinazioni integre, ognuna delle quali può soddisfare la richiesta. In questo passaggio, crea un gruppo di destinazione con almeno due host per il proxy dell'archivio delle chiavi esterne e registra gli indirizzi IP con il gruppo di destinazione.
Segui le istruzioni nell'argomento Configurazione di un gruppo di destinazione utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.
| Campo | Valore |
|---|---|
| Target type (Tipo di destinazione) | Indirizzi IP |
| Protocollo | TCP |
| Porta |
443 |
| Tipo di indirizzo IP | IPv4 |
| VPC | Scegli il VPC in cui creare il servizio endpoint VPC per l'archivio delle chiavi esterne. |
| Protocollo e percorso di controllo dell'integrità | Il protocollo e il percorso di controllo dell'integrità saranno diversi a seconda della configurazione del proxy dell'archivio delle chiavi esterne. Consulta la documentazione del gestore delle chiavi esterne o del proxy dell'archivio delle chiavi esterne. Per informazioni generali sulla configurazione dei controlli dell'integrità per i gruppi di destinazione, consulta Controlli dell'integrità per i gruppi di destinazione nella Guida per l'utente di Elastic Load Balancing per Network Load Balancer. |
| Rete | Altro indirizzo IP privato |
| Indirizzo IPv4 | Gli indirizzi privati del proxy dell'archivio delle chiavi esterne |
| Porte | 443 |
Creazione di un Network Load Balancer
Il Network Load Balancer distribuisce il traffico di rete, comprese le richieste provenienti da AWS KMS al proxy dell'archivio delle chiavi esterne, fino alle destinazioni configurate.
Segui le istruzioni nell'argomento Configurare un sistema di bilanciamento del carico e un ascoltatore per configurare e aggiungere un ascoltatore e creare un sistema di bilanciamento del carico utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.
| Campo | Valore |
|---|---|
| Schema | Interno |
| Tipo di indirizzo IP | IPv4 |
| Mappatura della rete |
Scegli il VPC in cui creare il servizio endpoint VPC per l'archivio delle chiavi esterne. |
| Mapping | Scegli entrambe le zone di disponibilità (almeno due) configurate per le sottoreti VPC. Verifica i nomi delle sottoreti e l'indirizzo IP privato. |
| Protocollo | TCP |
| Porta | 443 |
| Azione predefinita: Inoltra a | Scegli il gruppo di destinazione per il Network Load Balancer. |
Creazione di un servizio endpoint VPC
In genere, la creazione di un endpoint è destinata a un servizio. Tuttavia, quando crei un servizio endpoint VPC, il fornitore set e di conseguenza AWS KMS crea un endpoint per il tuo servizio. Per un archivio delle chiavi esterne, crea un servizio endpoint VPC con il Network Load Balancer creato nel passaggio precedente. Il servizio endpoint VPC deve trovarsi nello stesso Account AWS e nella stessa regione supportata dell'archivio delle chiavi esterne.
Più archivi delle chiavi esterne possono condividere un Amazon VPC, ma ogni archivio deve avere il proprio servizio endpoint VPC e il proprio nome DNS privato.
Segui le istruzioni nell'argomento Creazione di un servizio endpoint per creare il servizio endpoint VPC con i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.
| Campo | Valore |
|---|---|
| Nuovo tipo di load balancer | Rete |
| Sistemi di bilanciamento del carico disponibili | Scegli il Network Load Balancer creato nella fase precedente. Se il nuovo sistema di bilanciamento del carico non compare nell'elenco, verifica che il suo stato sia attivo. Potrebbero essere necessari alcuni minuti prima che lo stato del sistema di bilanciamento del carico passi dal provisioning ad attivo. |
| Accettazione richiesta | Falso. Deseleziona la casella di controllo. L'accettazione non è obbligatoria. AWS KMS non può connettersi al servizio endpoint VPC senza un'accettazione manuale. Se è richiesta l'accettazione, i tentativi di creare l'archivio delle chiavi esterne falliscono con un'eccezione |
| Abilita nome DNS privato | Associa un nome DNS privato al servizio |
| Nome DNS privato | Inserisci un nome DNS privato che sia univoco nella Regione AWS. Il nome DNS privato deve essere un sottodominio di un dominio pubblico di livello superiore. Ad esempio, se il nome DNS privato è Questo nome DNS privato deve corrispondere al nome comune del soggetto (CN) nel certificato TLS configurato sul proxy dell'archivio delle chiavi esterne. Ad esempio, se il nome DNS privato è Se il certificato e il nome DNS privato non corrispondono, i tentativi di connettere un archivio delle chiavi esterne al relativo proxy hanno esito negativo con un codice di errore di connessione di |
| Tipi di indirizzo IP supportati | IPv4 |
Verifica del dominio del nome DNS privato
Quando crei il servizio endpoint VPC, lo stato di verifica del dominio è pendingVerification. Prima di creare un archivio delle chiavi esterne con il servizio endpoint VPC, tale stato deve essere verified. Per verificare di essere il proprietario del dominio associato al nome DNS privato, devi creare un record TXT in un server DNS pubblico.
Ad esempio, se il nome DNS privato per il servizio endpoint VPC è myproxy-private.xks.example.com, devi creare un record TXT in un dominio pubblico, ad esempio xks.example.com o example.com, a seconda di quale sia pubblico. AWS PrivateLink cerca il record TXT prima su xks.example.com e poi su example.com.
Suggerimento
Dopo aver aggiunto un record TXT, potrebbero essere necessari alcuni minuti prima che il valore di Domain verification status (Stato di verifica del dominio) passi da pendingVerification a verify.
Per iniziare, individua lo stato di verifica del dominio utilizzando uno dei metodi seguenti. I valori validi sono verified, pendingVerification e failed.
-
Nella console Amazon VPC
, scegli Endpoint services (Servizi endpoint), quindi seleziona il servizio endpoint. Nel riquadro dei dettagli, vedi Domain verification status (Stato di verifica del dominio). -
Usa l'DescribeVpcEndpointServiceConfigurationsoperazione. Il valore
Statesi trova nel campoServiceConfigurations.PrivateDnsNameConfiguration.State.
Se lo stato della verifica non è verified, segui le istruzioni nell'argomento Verifica della proprietà del dominio per aggiungere un record TXT al server DNS del dominio e verificare che il record TXT sia pubblicato. Quindi controlla nuovamente lo stato della verifica.
Non è necessario creare un record A per il nome del dominio DNS privato. Quando AWS KMS crea un endpoint di interfaccia per il servizio endpoint VPC, AWS PrivateLink crea automaticamente una zona ospitata con il record A richiesto per il nome del dominio privato nel VPC AWS KMS. Per gli archivi delle chiavi esterne con connettività del servizio endpoint VPC, ciò accade quando colleghi l'archivio delle chiavi esterne al relativo proxy.
Autorizzazione di AWS KMS alla connessione al servizio endpoint VPC
Aggiungi AWS KMS all'elenco Allow principals (Consenti entità principali) per il servizio endpoint VPC. Ciò consente ad AWS KMS di creare endpoint di interfaccia per il servizio endpoint VPC. Se AWS KMS non rappresenta un principale consentito, i tentativi di creare un archivio delle chiavi esterne avranno esito negativo con un'eccezione XksProxyVpcEndpointServiceNotFoundException.
Segui le istruzioni nell'argomento Gestione delle autorizzazioni della Guida di AWS PrivateLink. Utilizza il seguente valore obbligatorio.
| Campo | Valore |
|---|---|
| ARN | cks.kms.Ad esempio, |
Successivo: Creazione di un archivio delle chiavi esterne
