外部キーストアプロキシ接続オプションを選択する - AWS Key Management Service
パブリックエンドポイント接続VPC エンドポイントサービス接続

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部キーストアプロキシ接続オプションを選択する

外部キーストアを作成する前に、 が外部キーストアコンポーネントと AWS KMS 通信するかどうかを決定する接続オプションを選択します。選択した接続オプションによって、残りの計画プロセスが決まります。

外部キーストアを作成する場合は、 が外部キーストアプロキシ と AWS KMS 通信する方法を決定する必要があります。この選択により、必要なコンポーネントとその設定方法が決まります。 は、次の接続オプション AWS KMS をサポートしています。パフォーマンスとセキュリティの目標に合ったオプションを選択します。

開始する前に、外部キーストアが必要であることを確認してください。ほとんどのお客様は、KMSキーマテリアルに裏打ちされた AWS KMS キーを使用できます。

注記

外部キーストアプロキシが外部キーマネージャーに組み込まれている場合は、接続が事前に決められている可能性があります。ガイダンスについては、外部キーマネージャーまたは外部キーストアプロキシのドキュメントを参照してください。

外部キーストアプロキシの接続オプションは、稼働中の外部キーストアでも変更できます。ただし、中断を最小限に抑え、エラーを回避し、データを暗号化する暗号化キーに継続的にアクセスできるように、プロセスを慎重に計画して実行する必要があります。

パブリックエンドポイント接続

AWS KMS は、パブリックエンドポイントを使用してインターネット経由で外部キーストアプロキシ (XKS プロキシ) に接続します。

この接続オプションはセットアップと保守が簡単で、一部のキー管理モデルとも問題なく連携します。ただし、一部の組織のセキュリティ要件を満たしていない場合があります。

パブリックエンドポイント接続

要件

パブリックエンドポイント接続を選択する場合、以下が必要です。

  • 外部キーストアプロキシは、パブリックにルーティング可能なエンドポイントからアクセスできる必要があります。

  • 同じパブリックエンドポイントを複数の外部キーストアで使用できます。ただし、異なるプロキシURIパス値を使用する場合に限ります。

  • キーストアが異なる にある場合でも AWS リージョン、パブリックエンドポイント接続の外部キーストアと、同じ 内のVPCエンドポイントサービス接続の外部キーストアに同じエンドポイントを使用することはできません AWS アカウント。

  • 外部キーストアでサポートされているパブリックTLS認証機関によって発行された証明書を取得する必要があります。リストについては、「Trusted Certificate Authorities」(信頼された証明機関) を参照してください。

    TLS 証明書のサブジェクト共通名 (CN) は、外部キーストアプロキシのプロキシURIエンドポイントのドメイン名と一致する必要があります。例えば、パブリックエンドポイントが https://myproxy.xks.example.comの場合、TLS証明書の TLSCN は myproxy.xks.example.comまたは である必要があります*.xks.example.com

  • AWS KMS と外部キーストアプロキシとの間のファイアウォールで、oxy. AWS KMS communicates on port 443 とのトラフィックが許可されていることを確認します。この値は設定できません。

外部キーストアのすべての要件については、前提条件を構成するを参照してください。

VPC エンドポイントサービス接続

AWS KMS は、作成および設定する Amazon VPCエンドポイントサービスへのインターフェイスエンドポイントを作成して、外部キーストアプロキシ (XKS プロキシ) に接続します。VPC エンドポイントサービスを作成し、 VPCを外部キーマネージャーに接続する責任があります。

エンドポイントサービスは、 など、サポートされている network-to-Amazon通信VPCオプションのいずれかを使用できますAWS Direct Connect

この接続オプションは、セットアップと保守が複雑です。ただし、 を使用しており AWS PrivateLink、 AWS KMS はパブリックインターネットを使用せずに Amazon VPCと外部キーストアプロキシにプライベートに接続できます。

Amazon で外部キーストアプロキシを見つけることができますVPC。

VPC エンドポイントサービス接続 - のXKSプロキシ VPC

または、外部キーストアプロキシを の外部に配置し AWS 、 との安全な通信にのみ Amazon VPCエンドポイントサービスを使用します AWS KMS。

VPC エンドポイントサービス接続 - の外部XKSプロキシ AWS

詳細はこちら:

  • 前提条件の組み合わせを含む、外部キーストアを作成するためのプロセスを確認します。外部キーストアを作成する際に、必要なコンポーネントがすべて揃っていることを確認するのに役立ちます。

  • 外部キーストア管理者およびユーザーが必要とする許可を含む、外部キーストアへのアクセスを制御する方法について説明します。

  • 外部キーストア AWS KMS に記録する Amazon CloudWatch メトリクスとディメンションについて説明します。パフォーマンスや運用上の問題の兆候を早期に検出するために、外部キーストアをモニタリングするアラームを作成することを強くお勧めします。