Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Configurazione della connettività del servizio endpoint VPC

PDF
RSS
Modalità Focus
Configurazione della connettività del servizio endpoint VPC - AWS Key Management Service
Requisiti per la connettività del servizio endpoint VPCFase 1: creazione di un Amazon VPC e delle sottoretiFase 2: Creare un gruppo targetFase 3: Creare un sistema di bilanciamento del carico di reteFase 4: Creare un servizio endpoint VPCFase 5: Verifica il tuo nome di dominio DNS privatoFase 6: Autorizzazione AWS KMS alla connessione al servizio endpoint VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizza le indicazioni in questa sezione per creare e configurare AWS le risorse e i componenti correlati necessari per un archivio di chiavi esterno che utilizza la connettività del servizio endpoint VPC. Le risorse elencate per questa opzione di connettività sono un supplemento alle risorse necessarie per tutti gli archivi delle chiavi esterne. Dopo aver creato e configurato le risorse necessarie, puoi creare l'archivio delle chiavi esterne.

Puoi localizzare il tuo proxy di archiviazione chiavi esterno nel tuo Amazon VPC o localizzare il proxy all'esterno AWS e utilizzare il servizio di endpoint VPC per la comunicazione.

Prima di iniziare, verifica che sia necessario un archivio delle chiavi esterne. La maggior parte dei clienti può utilizzare chiavi KMS supportate da materiale chiave. AWS KMS

Nota

Alcuni degli elementi necessari per la connettività del servizio endpoint VPC potrebbero essere inclusi nel gestore delle chiavi esterne. Inoltre, il software potrebbe avere requisiti di configurazione aggiuntivi. Prima di creare e configurare le AWS risorse in questa sezione, consulta la documentazione del proxy e del gestore delle chiavi.

Requisiti per la connettività del servizio endpoint VPC

Se scegli la connettività del servizio endpoint VPC per l'archivio delle chiavi esterne, sono necessarie le seguenti risorse.

Per ridurre al minimo la latenza di rete, create i AWS componenti nel supporto Regione AWS più vicino al gestore di chiavi esterno. Se possibile, scegli una regione con un tempo di andata e ritorno (RTT) della rete di 35 millisecondi o meno.

  • Un Amazon VPC collegato al gestore delle chiavi esterne. Deve avere almeno due sottoreti private in due zone di disponibilità diverse.

    Puoi utilizzare un Amazon VPC esistente, a condizione che soddisfi i requisiti per l'utilizzo con un archivio delle chiavi esterne. Più archivi delle chiavi esterne possono condividere un Amazon VPC, ma ogni archivio deve avere il proprio servizio endpoint VPC e il proprio nome DNS privato.

  • Un servizio endpoint Amazon VPC basato su un AWS PrivateLink con un Network Load Balancer e un gruppo di destinazione.

    Il servizio endpoint non può richiedere l'accettazione. Inoltre, devi aggiungere AWS KMS come principale consentito. Ciò consente di AWS KMS creare endpoint di interfaccia in modo che possa comunicare con il proxy di archiviazione delle chiavi esterno.

  • Un nome DNS privato per il servizio endpoint VPC univoco nella Regione AWS.

    Il nome DNS privato deve essere un sottodominio di un dominio pubblico di livello superiore. Ad esempio, se il nome DNS privato è myproxy-private.xks.example.com, deve essere un sottodominio di un dominio pubblico come xks.example.com o example.com.

    Devi verificare la proprietà del dominio DNS per il nome DNS privato.

  • Un certificato TLS emesso da un'autorità di certificazione pubblica supportata per il proxy dell'archivio delle chiavi esterne.

    Il nome comune del soggetto (CN) sul certificato TLS deve corrispondere al nome DNS privato. Ad esempio, se il nome DNS privato è myproxy-private.xks.example.com, il CN sul certificato TLS deve essere myproxy-private.xks.example.com o *.xks.example.com.

Per informazioni su tutti i requisiti di un archivio delle chiavi esterne, consulta Assemblare i prerequisiti.

Fase 1: creazione di un Amazon VPC e delle sottoreti

La connettività del servizio endpoint VPC richiede un Amazon VPC connesso al gestore delle chiavi esterne con almeno due sottoreti private. Puoi creare un Amazon VPC o utilizzarne uno esistente che soddisfi i requisiti per gli archivi delle chiavi esterne. Per informazioni sulla creazione di un nuovo Amazon VPC, consulta Creazione di un VPC nella Guida per l'utente di Amazon Virtual Private Cloud.

Requisiti per Amazon VPC

Per lavorare con gli archivi delle chiavi esterne tramite la connettività del servizio endpoint VPC, Amazon VPC deve avere le seguenti proprietà:

  • Deve trovarsi nella stessa regione Account AWS supportata dell'archivio di chiavi esterno.

  • Richiede almeno due sottoreti private, ognuna in una zona di disponibilità diversa.

  • L'intervallo di indirizzi IP privati di Amazon VPC non deve sovrapporsi all'intervallo di indirizzi IP privati del data center che ospita il gestore delle chiavi esterne.

  • Tutti i componenti devono essere utilizzati IPv4.

Le opzioni per connettere Amazon VPC al proxy dell'archivio delle chiavi esterne sono molteplici. Scegli un'opzione che soddisfi le tue esigenze di prestazioni e sicurezza. Per un elenco, consulta Connect your VPC ad altre reti e Opzioni di connettività Network-to-Amazon VPC. Per ulteriori dettagli, consulta AWS Direct Connect e la Guida per l'utente di AWS Site-to-Site VPN.

Creazione di un Amazon VPC per l'archivio delle chiavi esterne

Utilizza le istruzioni seguenti per creare un Amazon VPC per l'archivio delle chiavi esterne. Un Amazon VPC è necessario solo se scegli l'opzione di connettività del servizio endpoint VPC. Puoi utilizzare un Amazon VPC esistente, a condizione che soddisfi i requisiti di un archivio delle chiavi esterne.

Segui le istruzioni nell'argomento Creazione di VPC, sottoreti e altre risorse VPC utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.

Campo Valore
IPv4 blocco CIDR Inserisci gli indirizzi IP per il VPC. L'intervallo di indirizzi IP privati di Amazon VPC non deve sovrapporsi all'intervallo di indirizzi IP privati del data center che ospita il gestore delle chiavi esterne.
Numero di zone di disponibilità () AZs 2 o più
Numero di sottoreti pubbliche

Non è necessario indicare alcun valore (0)
Numero di sottoreti private Una per ogni zona di disponibilità
Gateway NAT Non è necessario indicare alcun valore.
Endpoint VPC Non è necessario indicare alcun valore.
Enable DNS hostnames (Abilita hostname DNS)
Abilita risoluzione DNS

Assicurati di testare la comunicazione VPC. Ad esempio, se il tuo proxy di archiviazione chiavi esterno non si trova nel tuo Amazon VPC, crea un' EC2 istanza Amazon nel tuo Amazon VPC, verifica che Amazon VPC possa comunicare con il tuo proxy di archiviazione chiavi esterno.

Connessione del VPC al gestore delle chiavi esterne

Connetti il VPC al data center che ospita il gestore delle chiavi esterne utilizzando una delle opzioni di connettività di rete supportate da Amazon VPC. Assicurati che l' EC2 istanza Amazon nel VPC (o il proxy dell'archivio chiavi esterno, se si trova nel VPC) possa comunicare con il data center e il gestore delle chiavi esterno.

Fase 2: Creare un gruppo target

Prima di creare il servizio endpoint VPC richiesto, crea i componenti necessari, vale a dire un Network Load Balancer e un gruppo di destinazione. Il Network Load Balancer distribuisce le richieste tra più destinazioni integre, ognuna delle quali può soddisfare la richiesta. In questo passaggio, crea un gruppo di destinazione con almeno due host per il proxy dell'archivio delle chiavi esterne e registra gli indirizzi IP con il gruppo di destinazione.

Segui le istruzioni nell'argomento Configurazione di un gruppo di destinazione utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.

Campo Valore
Target type (Tipo di destinazione) Indirizzi IP
Protocollo TCP
Porta

443
Tipo di indirizzo IP IPv4
VPC Scegli il VPC in cui creare il servizio endpoint VPC per l'archivio delle chiavi esterne.
Protocollo e percorso di controllo dell'integrità

Il protocollo e il percorso di controllo dell'integrità saranno diversi a seconda della configurazione del proxy dell'archivio delle chiavi esterne. Consulta la documentazione del gestore delle chiavi esterne o del proxy dell'archivio delle chiavi esterne.

Per informazioni generali sulla configurazione dei controlli dell'integrità per i gruppi di destinazione, consulta Controlli dell'integrità per i gruppi di destinazione nella Guida per l'utente di Elastic Load Balancing per Network Load Balancer.
Rete Altro indirizzo IP privato
IPv4 indirizzo Gli indirizzi privati del proxy dell'archivio delle chiavi esterne
Porte 443

Fase 3: Creare un sistema di bilanciamento del carico di rete

Il Network Load Balancer distribuisce il traffico di rete, comprese le richieste provenienti da AWS KMS al proxy dell'archivio delle chiavi esterne, fino alle destinazioni configurate.

Segui le istruzioni nell'argomento Configurare un sistema di bilanciamento del carico e un ascoltatore per configurare e aggiungere un ascoltatore e creare un sistema di bilanciamento del carico utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.

Campo Valore
Schema Interno
Tipo di indirizzo IP IPv4
Mappatura della rete

Scegli il VPC in cui creare il servizio endpoint VPC per l'archivio delle chiavi esterne.
Mapping Scegli entrambe le zone di disponibilità (almeno due) configurate per le sottoreti VPC. Verifica i nomi delle sottoreti e l'indirizzo IP privato.
Protocollo TCP
Porta 443
Azione predefinita: Inoltra a Scegli il gruppo di destinazione per il Network Load Balancer.

Fase 4: Creare un servizio endpoint VPC

In genere, la creazione di un endpoint è destinata a un servizio. Tuttavia, quando crei un servizio endpoint VPC, sei il fornitore e AWS KMS crei un endpoint per il tuo servizio. Per un archivio delle chiavi esterne, crea un servizio endpoint VPC con il Network Load Balancer creato nel passaggio precedente. Il servizio endpoint VPC deve trovarsi nella stessa regione Account AWS supportata dell'archivio chiavi esterno.

Più archivi delle chiavi esterne possono condividere un Amazon VPC, ma ogni archivio deve avere il proprio servizio endpoint VPC e il proprio nome DNS privato.

Segui le istruzioni nell'argomento Creazione di un servizio endpoint per creare il servizio endpoint VPC con i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.

Campo Valore
Nuovo tipo di load balancer Rete
Sistemi di bilanciamento del carico disponibili Scegli il Network Load Balancer creato nella fase precedente.

Se il nuovo sistema di bilanciamento del carico non compare nell'elenco, verifica che il suo stato sia attivo. Potrebbero essere necessari alcuni minuti prima che lo stato del sistema di bilanciamento del carico passi dal provisioning ad attivo.
Accettazione richiesta Falso. Deseleziona la casella di controllo.

Non richiedono l'accettazione. AWS KMS non può connettersi al servizio endpoint VPC senza un'accettazione manuale. Se è richiesta l'accettazione, i tentativi di creare l'archivio delle chiavi esterne falliscono con un'eccezione XksProxyInvalidConfigurationException.

Abilita nome DNS privato Associa un nome DNS privato al servizio
Nome DNS privato Inserisci un nome DNS privato che sia univoco nella Regione AWS.

Il nome DNS privato deve essere un sottodominio di un dominio pubblico di livello superiore. Ad esempio, se il nome DNS privato è myproxy-private.xks.example.com, deve essere un sottodominio di un dominio pubblico come xks.example.com o example.com.

Questo nome DNS privato deve corrispondere al nome comune del soggetto (CN) nel certificato TLS configurato sul proxy dell'archivio delle chiavi esterne. Ad esempio, se il nome DNS privato è myproxy-private.xks.example.com, il CN sul certificato TLS deve essere myproxy-private.xks.example.com o *.xks.example.com.

Se il certificato e il nome DNS privato non corrispondono, i tentativi di connettere un archivio delle chiavi esterne al relativo proxy hanno esito negativo con un codice di errore di connessione di XKS_PROXY_INVALID_TLS_CONFIGURATION. Per informazioni dettagliate, consultare Errori di configurazione generale.
Tipi di indirizzo IP supportati IPv4

Fase 5: Verifica il tuo nome di dominio DNS privato

Quando crei il servizio endpoint VPC, lo stato di verifica del dominio è pendingVerification. Prima di creare un archivio delle chiavi esterne con il servizio endpoint VPC, tale stato deve essere verified. Per verificare di essere il proprietario del dominio associato al nome DNS privato, devi creare un record TXT in un server DNS pubblico.

Ad esempio, se il nome DNS privato per il tuo servizio endpoint VPC myproxy-private.xks.example.com è, devi creare un record TXT in un dominio pubblico, ad esempio example.com o, a seconda di xks.example.com quale sia pubblico. AWS PrivateLink cerca il record TXT prima e poi. xks.example.com example.com

Suggerimento

Dopo aver aggiunto un record TXT, potrebbero essere necessari alcuni minuti prima che il valore di Domain verification status (Stato di verifica del dominio) passi da pendingVerification a verify.

Per iniziare, individua lo stato di verifica del dominio utilizzando uno dei metodi seguenti. I valori validi sono verified, pendingVerification e failed.

  • Nella console Amazon VPC, scegli Endpoint services (Servizi endpoint), quindi seleziona il servizio endpoint. Nel riquadro dei dettagli, vedi Domain verification status (Stato di verifica del dominio).

  • Usa l'DescribeVpcEndpointServiceConfigurationsoperazione. Il valore State si trova nel campo ServiceConfigurations.PrivateDnsNameConfiguration.State.

Se lo stato della verifica non è verified, segui le istruzioni nell'argomento Verifica della proprietà del dominio per aggiungere un record TXT al server DNS del dominio e verificare che il record TXT sia pubblicato. Quindi controlla nuovamente lo stato della verifica.

Non è necessario creare un record A per il nome del dominio DNS privato. Quando AWS KMS crea un endpoint di interfaccia per il tuo servizio endpoint VPC AWS PrivateLink , crea automaticamente una zona ospitata con il record A richiesto per il nome di dominio privato nel VPC. AWS KMS Per gli archivi delle chiavi esterne con connettività del servizio endpoint VPC, ciò accade quando colleghi l'archivio delle chiavi esterne al relativo proxy.

Fase 6: Autorizzazione AWS KMS alla connessione al servizio endpoint VPC

È necessario aggiungerlo AWS KMS all'elenco dei principali consentiti per il servizio endpoint VPC. Ciò consente di AWS KMS creare endpoint di interfaccia per il servizio endpoint VPC. Se non AWS KMS è un'opzione principale consentita, i tentativi di creare un archivio di chiavi esterno falliranno con un'eccezione. XksProxyVpcEndpointServiceNotFoundException

Segui le istruzioni nell'argomento Gestione delle autorizzazioni della Guida di AWS PrivateLink . Utilizza il seguente valore obbligatorio.

Campo Valore
ARN cks.kms.<region>.amazonaws.com

Ad esempio, cks.kms.us-east-1.amazonaws.com.

Successivo: Creare un archivio di chiavi esterno

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.