Escolha uma opção de conectividade proxy de armazenamento de chaves externo - AWS Key Management Service
Conectividade de endpoints públicosVPCconectividade de serviço de endpoint

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Escolha uma opção de conectividade proxy de armazenamento de chaves externo

Antes de criar seu armazenamento de chaves externo, escolha a opção de conectividade que determina como AWS KMS se comunica com os componentes do armazenamento de chaves externo. A opção de conectividade escolhida determinará o restante do processo de planejamento.

Se você estiver criando um armazenamento de chaves externo, precisará determinar como AWS KMS se comunica com seu proxy de armazenamento de chaves externo. Essa escolha determinará quais componentes você precisa e como você os configura. AWS KMS suporta as seguintes opções de conectividade. Escolha a opção que atenda aos seus objetivos de performance e segurança.

Antes de começar, confirme se você precisa de um armazenamento de chaves externas. A maioria dos clientes pode usar KMS chaves apoiadas por material AWS KMS chave.

nota

Se seu proxy de armazenamento de chaves externas estiver incorporado ao gerenciador de chaves externas, a conectividade poderá ser predeterminada. Para obter orientações, consulte a documentação do gerenciador de chaves externas ou do proxy de armazenamento de chaves externas.

Você pode alterar a opção de conectividade de proxy de armazenamento de chaves externas mesmo em um armazenamento de chaves externas operacional. Contudo, o processo deve ser planejado e executado com atenção para minimizar interrupções, evitar erros e garantir acesso contínuo às chaves de criptografia que criptografam seus dados.

Conectividade de endpoints públicos

AWS KMS se conecta ao proxy externo do armazenamento de chaves (XKSproxy) pela Internet usando um endpoint público.

Essa opção de conectividade é mais fácil de configurar e de manter e se alinha bem com alguns modelos de gerenciamento de chaves. No entanto, pode não atender aos requisitos de segurança de algumas organizações.

Conectividade de endpoints públicos

Requisitos

Se você escolher a conectividade de endpoint público, será necessário realizar as ações a seguir.

  • Seu proxy de armazenamento de chaves externas deve estar acessível em um endpoint roteável publicamente.

  • Você pode usar o mesmo endpoint público para vários armazenamentos de chaves externos, desde que eles usem valores de URIcaminho de proxy diferentes.

  • Você não pode usar o mesmo endpoint para um armazenamento de chaves externo com conectividade de endpoint público e qualquer armazenamento de chaves externo com conectividade de serviços de VPC endpoint no mesmo Região da AWS, mesmo que os armazenamentos de chaves estejam em locais diferentes. Contas da AWS

  • Você deve obter um TLS certificado emitido por uma autoridade de certificação pública compatível com armazenamentos de chaves externos. Para obter uma lista, consulte Trusted Certificate Authorities (Autoridades de certificação confiáveis).

    O nome comum (CN) do assunto no TLS certificado deve corresponder ao nome de domínio no URIendpoint do proxy para o proxy externo do armazenamento de chaves. Por exemplo, se o endpoint público forhttps://myproxy.xks.example.com, oTLS, o CN no TLS certificado deverá ser myproxy.xks.example.com ou*.xks.example.com.

  • Certifique-se de que qualquer firewall entre AWS KMS e o proxy externo do armazenamento de chaves permita o tráfego de e para a porta 443 no proxy. AWS KMS se comunica na porta 443. Esse valor não é configurável.

Para todos os requisitos de um armazenamento de chaves externas, consulte Organizar os pré-requisitos.

VPCconectividade de serviço de endpoint

AWS KMS se conecta ao proxy externo do armazenamento de chaves (XKSproxy) criando um endpoint de interface para um serviço de VPC endpoint da Amazon que você cria e configura. Você é responsável por criar o serviço de VPC endpoint e por conectá-lo VPC ao seu gerenciador de chaves externo.

Seu serviço de endpoint pode usar qualquer uma das network-to-AmazonVPCopções suportadas para comunicação, inclusive AWS Direct Connect.

Essa opção de conectividade é mais complicada de configurar e manter. Mas ele usa AWS PrivateLink, o que permite AWS KMS conectar-se de forma privada à Amazon VPC e ao proxy externo do armazenamento de chaves sem usar a Internet pública.

Você pode localizar seu proxy externo de armazenamento de chaves na AmazonVPC.

VPCconectividade de serviço de endpoint - XKS proxy em seu VPC

Ou localize seu proxy externo de armazenamento de chaves fora AWS e use seu serviço de VPC endpoint da Amazon somente para comunicação segura com AWS KMS.

VPCconectividade de serviço de endpoint - XKS proxy fora do AWS

Saiba mais:

  • Analise o processo de criação de um armazenamento de chaves externas, incluindo a montagem dos pré-requisitos. Isso ajudará a garantir que você tenha todos os componentes obrigatórios para criar seu armazenamento de chaves externas.

  • Saiba como controlar o acesso ao armazenamento de chaves externas, inclusive as permissões que os administradores e usuários do armazenamento de chaves externas exigem.

  • Saiba mais sobre as CloudWatch métricas e dimensões da Amazon que AWS KMS registram para lojas de chaves externas. É altamente recomendável criar alarmes para monitorar o armazenamento de chaves externas para poder detectar os primeiros sinais de problemas operacionais e de performance.