외부 키 스토어 프록시 연결 옵션 선택 - AWS Key Management Service
퍼블릭 엔드포인트 연결VPC 엔드포인트 서비스 연결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

외부 키 스토어 프록시 연결 옵션 선택

외부 키 스토어를 생성하기 전에 가 외부 키 스토어 구성 요소와 AWS KMS 통신하는 방법을 결정하는 연결 옵션을 선택합니다. 선택한 연결 옵션에 따라 나머지 계획 프로세스가 결정됩니다.

외부 키 스토어를 생성하는 경우 가 외부 키 스토어 프록시 와 어떻게 AWS KMS 통신하는지 확인해야 합니다. 이 선택은 필요한 구성 요소와 구성 방법을 결정합니다. 는 다음 연결 옵션을 AWS KMS 지원합니다. 성능과 보안 목표에 맞는 옵션을 선택합니다.

시작하기 전에 외부 키 스토어가 필요한지 확인합니다. 대부분의 고객은 KMS 키 구성 요소가 지원하는 AWS KMS 키를 사용할 수 있습니다.

참고

외부 키 스토어 프록시가 외부 키 관리자에 내장된 경우 연결이 미리 결정될 수 있습니다. 지침은 외부 키 관리자 또는 외부 키 스토어 프록시의 설명서를 참조하세요.

작동 중인 외부 키 스토어에서도 외부 키 스토어 프록시 연결 옵션을 변경할 수 있습니다. 그러나 중단을 최소화하고 오류를 방지하고 데이터를 암호화하는 암호화 키에 지속적으로 액세스할 수 있도록 프로세스를 신중하게 계획하고 실행해야 합니다.

퍼블릭 엔드포인트 연결

AWS KMS 는 퍼블릭 엔드포인트를 사용하여 인터넷을 통해 외부 키 스토어 프록시(XKS 프록시)에 연결합니다.

이 연결 옵션은 설정 및 유지 관리가 더 쉽고 일부 키 관리 모델과 잘 맞습니다. 그러나 일부 조직의 보안 요구 사항을 충족하지 못할 수 있습니다.

퍼블릭 엔드포인트 연결

요구 사항

퍼블릭 엔드포인트 연결을 선택하는 경우 다음이 필요합니다.

  • 외부 키 스토어 프록시는 공개적으로 라우팅 가능한 엔드포인트에서 연결할 수 있어야 합니다.

  • 서로 다른 프록시 URI 경로 값을 사용하는 경우 여러 외부 키 스토어에 동일한 퍼블릭 엔드포인트를 사용할 수 있습니다.

  • 키 스토어가 다른 에 AWS 리전있더라도 퍼블릭 엔드포인트 연결이 있는 외부 키 스토어와 동일한 에 엔드포인트 서비스 연결이 있는 외부 키 스토어에 동일한 VPC 엔드포인트를 사용할 수 없습니다 AWS 계정.

  • 외부 키 스토어에 지원되는 퍼블릭 TLS 인증 기관에서 발급한 인증서를 받아야 합니다. 목록은 신뢰할 수 있는 인증 기관을 참조하세요.

    TLS 인증서의 주체 일반 이름(CN)은 외부 키 스토어 프록시의 프록시 URI 엔드포인트에 있는 도메인 이름과 일치해야 합니다. 예를 들어 퍼블릭 엔드포인트가 https://myproxy.xks.example.com인 경우 인증서의 TLSCN은 myproxy.xks.example.com 또는 이어야 TLS 합니다*.xks.example.com.

  • AWS KMS 와 외부 키 스토어 프록시 간의 방화벽이 포트 443의 프록시. AWS KMS communicates의 포트 443으로의 트래픽을 허용하는지 확인합니다. 이 값은 구성할 수 없습니다.

외부 키 스토어의 모든 요구 사항은 사전 조건 수집을 참조하세요.

VPC 엔드포인트 서비스 연결

AWS KMS 는 생성 및 구성하는 Amazon 엔드포인트 서비스에 대한 인터페이스 VPC 엔드포인트를 생성하여 외부 키 스토어 프록시(XKS 프록시)에 연결합니다. VPC 엔드포인트 서비스를 생성하고 를 외부 키 관리자VPC에 연결하는 것은 사용자의 책임입니다.

엔드포인트 서비스는 를 포함하여 지원되는 network-to-Amazon 통신 VPC 옵션을 사용할 수 있습니다AWS Direct Connect.

이 연결 옵션은 설정 및 유지 관리가 더 복잡합니다. 하지만 를 사용하여 AWS PrivateLink가 퍼블릭 인터넷 AWS KMS 을 사용하지 않고 Amazon VPC 및 외부 키 스토어 프록시에 비공개로 연결할 수 있습니다.

Amazon 에서 외부 키 스토어 프록시를 찾을 수 있습니다VPC.

VPC 엔드포인트 서비스 연결 - 의 XKS 프록시 VPC

또는 외부에서 외부 키 스토어 프록시를 찾아 Amazon VPC 엔드포인트 서비스를 와의 보안 통신을 위해서만 AWS 사용합니다 AWS KMS.

VPC 엔드포인트 서비스 연결 - 외부 XKS 프록시 AWS

자세히 알아보기:

  • 사전 요구 사항 취합을 포함하여 외부 키 스토어 생성 프로세스를 검토합니다. 이를 통해 외부 키 스토어를 생성할 때 필요한 모든 구성 요소가 있는지 확인할 수 있습니다.

  • 외부 키 스토어 관리자 및 사용자에게 필요한 권한을 포함하여 외부 키 스토어에 대한 액세스를 제어하는 방법을 알아봅니다.

  • 외부 키 스토어에 대해 AWS KMS 기록하는 Amazon CloudWatch 지표 및 차원에 대해 알아봅니다. 성능 및 운영 문제의 초기 징후를 감지할 수 있도록 외부 키 스토어를 모니터링하는 경보를 생성하는 것이 좋습니다.