选择外部密钥存储代理连接选项 - AWS Key Management Service
公有端点连接VPC端点服务连接

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

选择外部密钥存储代理连接选项

在创建外部密钥库之前,请选择决定与外部密钥库组件 AWS KMS 通信方式的连接选项。您选择的连接选项决定了规划过程的剩余步骤。

如果要创建外部密钥存储库,则需要确定 AWS KMS 与外部密钥存储代理的通信方式。此选项将决定您需要哪些组件以及如何配置它们。 AWS KMS 支持以下连接选项。选择能满足性能和安全目标的选项。

在开始之前,请确认您需要外部密钥存储。大多数客户都可以使用由KMS密钥材料支持的 AWS KMS 密钥。

注意

如果您的外部密钥存储代理构建到外部密钥管理器中,则您的连接可能是预先确定的。有关详细信息,请参阅外部密钥管理器或外部密钥存储代理的文档。

即使在正在运行的外部密钥存储上,您也可以更改外部密钥存储代理的连接选项。但是,必须仔细规划和执行该过程,以尽可能减少中断和避免错误,并确保继续访问加密数据的加密密钥。

公有端点连接

AWS KMS 使用公共端点通过 Internet 连接到外部密钥存储XKS代理(代理)。

此连接选项更易于设置和维护,并且可以与某些密钥管理模型很好地匹配。但是,此选项可能无法满足某些组织的安全要求。

公有端点连接

要求

如果您选择公有端点连接,则需要满足以下条件。

  • 您的外部密钥存储代理必须可以在可公开路由的端点上访问。

  • 您可以对多个外部密钥存储使用相同的公共端点,前提是它们使用不同的代理URI路径值。

  • 对于具有公共终端节点连接的外部密钥存储库,以及任何具有相同终端节点服务连接的外部密钥存储库 AWS 区域,即使密钥存储库位于不同的位置,也不能使用相同的VPC终端节点 AWS 账户。

  • 您必须获得由支持外部密钥存储的公共证书颁发机构颁发的证书。TLS有关列表,请参阅 Trusted Certificate Authorities(受信任的证书颁发机构)。

    TLS证书上的主题公用名 (CN) 必须与外部密钥存储代理的代理URI端点中的域名相匹配。例如,如果公共终端节点是 https://myproxy.xks.example.comTLS,则TLS证书上的 CN 必须是myproxy.xks.example.com*.xks.example.com

  • 确保与外部密钥存储代理 AWS KMS 之间的任何防火墙都允许进出代理上端口 443 的流量。 AWS KMS 通过端口 443 进行通信。此值不可配置。

有关外部密钥存储的所有要求,请参阅 Assemble the prerequisites(汇编先决条件)。

VPC端点服务连接

AWS KMS 通过创建与您创建和配置的 Amazon VPC 终端节点服务的接口终端节点来连接到外部密钥存储XKS代理(代理)。您负责创建VPC终端节点服务并将您VPC连接到您的外部密钥管理器。

您的终端节点服务可以使用任何支持的通信 network-to-AmazonVPC选项,包括AWS Direct Connect

此连接选项的设置和维护更为复杂。但是它使用了 AWS PrivateLink,这样就可以在不使用公共互联网的情况下私下 AWS KMS 连接到您的Amazon VPC 和外部密钥存储代理。

您可以在您的 Amazon 中找到您的外部密钥存储代理VPC。

VPC终端节点服务连接-您的XKS代理 VPC

或者,在外部找到您的外部密钥存储代理, AWS 并仅使用您的亚马逊VPC终端节点服务进行安全通信 AWS KMS。

VPC端点服务连接-外部的XKS代理 AWS

了解更多:

  • 查看创建外部密钥存储的过程,包括汇编先决条件。这将帮助您确保在创建外部密钥存储时拥有所需的所有组件。

  • 了解如何控制对外部密钥存储的访问,包括外部密钥存储管理员和用户所需的权限。

  • 了解 AWS KMS 记录外部密钥存储的 Amazon CloudWatch 指标和维度。我们强烈建议您创建警报来监控外部密钥存储,以便您就可以检测出性能和操作问题的早期迹象。