本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
規劃外部金鑰存放區
在建立外部金鑰存放區之前,請選擇決定 AWS KMS 如何與外部金鑰存放區元件通訊的連接選項。您選擇的連接選項會決定規劃程序的剩餘部分。
進一步了解:
-
檢閱建立外部金鑰存放區的程序,包括備妥先決條件。它將幫助您確保在建立外部金鑰存放區時具有所需的所有元件。
-
了解如何控制對外部金鑰存放區的存取,包括外部金鑰存放區管理員和使用者所需的許可。
-
了解AWS KMS記錄外部金鑰存放區的 Amazon CloudWatch 指標和維度。強烈建議您建立警示來監控外部金鑰存放區,以便可偵測到效能和操作問題的早期跡象。
選擇代理連接選項
如果您要建立外部金鑰存放區,則需要決定 AWS KMS 如何與外部金鑰存放區代理通訊。此選擇將決定您需要哪些元件以及如何進行設定。AWS KMS 支援以下連接選項。選擇可滿足您的效能和安全目標的選項。
開始之前,請確認您需要外部金鑰存放區。大多數客戶都可以使用由 AWS KMS 金鑰材料支援的 KMS 金鑰。
注意
如果您的外部金鑰存放區代理內建於外部金鑰管理器中,則可能已預先決定您的連接。如需相關指導,請參閱外部金鑰管理器或外部金鑰存放區代理的文件。
即使在正操作的外部金鑰存放區中,您也可以變更外部金鑰存放區代理連接選項。但是,必須仔細規劃和執行此程序,以最大限度地減少中斷、避免錯誤並確保持續存取對您的資料進行加密的密碼編譯金鑰。
公有端點連接
AWS KMS 使用公有端點透過網際網路連接至外部金鑰存放區代理 (XKS 代理)。
此連接選項更易於設定和維護,並且可與某些金鑰管理模式完美配合。但是,其可能無法滿足某些組織的安全要求。
需求
如果您選擇公有端點連接,則需要下列項目。
-
您的外部金鑰存放區代理在公開可路由端點必須可存取。
-
您可對多個外部金鑰存放區使用相同的公有端點,前提是它們使用不同的代理 URI 路徑值。
-
對於相同 AWS 區域 中具有公有端點連接的外部金鑰存放區以及具有 VPC 端點服務連接的任何外部金鑰存放區,不能使用相同的端點,即使這些金鑰存放區位於不同的 AWS 帳戶 中。
-
您必須取得由外部金鑰存放區支援的公有憑證授權機構核發的 TLS 憑證。如需清單,請參閱受信任的憑證授權機構
。 TLS 憑證上的主體通用名稱 (CN) 必須與外部金鑰存放區代理之代理 URI 端點中的網域名稱相符。例如,如果公有端點為
https://myproxy.xks.example.com,則 TLS 憑證上的通用名稱必須為myproxy.xks.example.com或*.xks.example.com。 確保 AWS KMS 與外部金鑰存放區代理之間的任何防火牆都允許代理上連接埠 443 的進出流量。AWS KMS 在連接埠 443 上進行通訊。此值不可設定。
如需外部金鑰存放區的所有要求,請參閱備妥先決條件。
VPC 端點服務連接
透過為您建立和設定的 Amazon VPC 端點服務建立介面端點,AWS KMS 連接至外部金鑰存放區代理 (XKS 代理)。您必須負責建立 VPC 端點服務,並將 VPC 連接至外部金鑰管理器。
您的端點服務可以使用任何支援的網路到 Amazon VPC 選項進行通訊,包括 AWS Direct Connect。
此連接選項的設定和維護更為複雜。但它使用的是 AWS PrivateLink,使 AWS KMS 能夠私密連接到您的 Amazon VPC 和外部金鑰存放區代理,而無需使用公有網際網路。
您可以在 Amazon VPC 中找到外部金鑰存放區代理。
或者,找到 AWS 之外的外部金鑰存放區代理,並僅將 Amazon VPC 端點服務用於與 AWS KMS 之間的安全通訊。
