Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Stellen Sie eine Connect AWS KMS über einen VPC-Endpunkt her
Sie können AWS KMS über einen privaten Schnittstellen-Endpunkt in Ihrer Virtual Private Cloud (VPC) eine direkte Verbindung herstellen. Wenn Sie einen VPC-Schnittstellen-Endpunkt verwenden, AWS KMS erfolgt die Kommunikation zwischen Ihrer VPC und dem vollständig innerhalb des AWS Netzwerks.
AWS KMS unterstützt Amazon Virtual Private Cloud (Amazon VPC) -Endpunkte, die von betrieben werden. [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/) Jeder VPC-Endpunkt wird durch eine oder mehrere [Elastic Network Interfaces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENIs) mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert.
Der VPC-Endpunkt der Schnittstelle verbindet Ihre VPC direkt, AWS KMS ohne dass ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder AWS Direct Connect eine Verbindung erforderlich ist. Die Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen für die Kommunikation. AWS KMS
**Regionen**
AWS KMS unterstützt VPC-Endpunkte und VPC-Endpunktrichtlinien insgesamt AWS-Regionen , was [AWS KMS](https://docs.aws.amazon.com/general/latest/gr/kms.html)unterstützt wird.
**Überlegungen zu AWS KMS VPC-Endpunkten**
Bevor Sie einen Schnittstellen-VPC-Endpunkt für einrichten AWS KMS, lesen Sie das Thema [Eigenschaften und Einschränkungen von Schnittstellenendpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) im *AWS PrivateLink Handbuch*.
AWS KMS Die Unterstützung für einen VPC-Endpunkt umfasst Folgendes.
+ Sie können den VPC-Endpunkt verwenden, um alle [AWS KMS -API-Vorgänge](https://docs.aws.amazon.com/kms/latest/APIReference/API_Operations.html) in Ihrer VPC aufzurufen.
+ Sie können einen VPC-Schnittstellen-Endpunkt erstellen, der eine Verbindung zu einem AWS KMS Regionsendpunkt oder einem [AWS KMS FIPS-Endpunkt](https://docs.aws.amazon.com/general/latest/gr/kms.html) herstellt.
+ Sie können AWS CloudTrail Protokolle verwenden, um Ihre Verwendung von KMS-Schlüsseln über den VPC-Endpunkt zu überprüfen. Details hierzu finden Sie unter [AWS KMS Anfragen protokollieren, die einen VPC-Endpunkt verwenden](vpce-logging.md).
**Topics**
+ [Erstellen Sie einen VPC-Endpunkt für AWS KMS](vpce-create-endpoint.md)
+ [Stellen Sie eine Connect zu einem AWS KMS VPC-Endpunkt her](vpce-connect.md)
+ [Verwenden Sie VPC-Endpunkte, um den Zugriff auf Ressourcen zu kontrollieren AWS KMS](vpce-policy-condition.md)
+ [AWS KMS Anfragen protokollieren, die einen VPC-Endpunkt verwenden](vpce-logging.md)
# Erstellen Sie einen VPC-Endpunkt für AWS KMS
Sie können AWS KMS mithilfe der Amazon VPC-Konsole oder der Amazon VPC-API einen VPC-Endpunkt für erstellen. Folgen Sie den Verfahren zum [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) mit einem der folgenden Werte.
+ Verwenden Sie den folgenden Dienstnamen AWS KMS, um einen VPC-Endpunkt für zu erstellen:
```
com.amazonaws.region.kms
```
In der Region USA West (Oregon) (`us-west-2`) würde der Servicename wie folgt lauten:
```
com.amazonaws.us-west-2.kms
```
+ Verwenden Sie den folgenden Servicenamen, um einen VPC-Endpunkt zu erstellen, der eine Verbindung zu einem [AWS KMS -FIPS-Endpunkt](https://docs.aws.amazon.com/general/latest/gr/kms.html) herstellt:
```
com.amazonaws.region.kms-fips
```
In der Region USA West (Oregon) (`us-west-2`) würde der Servicename wie folgt lauten:
```
com.amazonaws.us-west-2.kms-fips
```
Um die Verwendung des VPC-Endpunkts zu vereinfachen, können Sie einen [privaten DNS-Namen](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html) für Ihren VPC-Endpunkt aktivieren. Wenn Sie die Option **Enable Private DNS Name** (Privaten DNS-Namen aktivieren) auswählen, wird der standardmäßige AWS KMS -DNS-Hostname in Ihren VPC-Endpunkt aufgelöst. `https://kms.us-west-2.amazonaws.com` würde beispielsweise in einen VPC-Endpunkt aufgelöst, der mit dem Servicenamen `com.amazonaws.us-west-2.kms` verbunden ist.
Diese Option vereinfacht die Verwendung des VPC-Endpunkts. Das AWS SDKs und AWS CLI verwendet standardmäßig den AWS KMS Standard-DNS-Hostnamen, sodass Sie die VPC-Endpunkt-URL in Anwendungen und Befehlen nicht angeben müssen.
Weitere Informationen finden Sie unter [Zugriff auf einen Service über einen Schnittstellenendpunkt](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) im *AWS PrivateLink -Leitfaden*.
# Stellen Sie eine Connect zu einem AWS KMS VPC-Endpunkt her
Sie können AWS KMS über den VPC-Endpunkt eine Verbindung herstellen, indem Sie ein AWS SDK AWS CLI, das oder AWS -Tools für PowerShell verwenden. Um den VPC-Endpunkt anzugeben, verwenden Sie seinen DNS-Namen.
Dieser [list-keys](https://docs.aws.amazon.com/cli/latest/reference/kms/list-keys.html)-Befehl verwendet zur Angabe des VPC-Endpunkts z. B. den Parameter `endpoint-url`. Wenn Sie einen solchen Befehl verwenden möchten, ersetzen Sie die Beispiels-ID des VPC-Endpunkts durch eine ID in Ihrem Konto.
```
$ aws kms list-keys --endpoint-url https://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com
```
**Erforderliche Berechtigungen**
Damit eine AWS KMS Anfrage, die einen VPC-Endpunkt verwendet, erfolgreich ist, benötigt der Principal Berechtigungen aus zwei Quellen:
+ Eine [-Schlüsselrichtlinie](key-policies.md), [IAM-Richtlinie](iam-policies.md) oder [Erteilung](grants.md) muss dem Prinzipal die Berechtigung erteilen, die Operation für die Ressource (KMS-Schlüssel oder Alias) aufzurufen.
+ Eine VPC-Endpunktrichtlinie muss dem Prinzipal die Berechtigung erteilen, den Endpunkt für die Anforderung zu verwenden.
So kann eine Schlüsselrichtlinie einem Prinzipal die Berechtigung zum Aufrufen von [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) auf einen bestimmten KMS-Schlüssel erteilen. Allerdings könnte die VPC-Endpunktrichtlinie diesem Prinzipal nicht erlauben, `Decrypt` auf diesem KMS-Schlüssel mithilfe des Endpunkts aufzurufen.
Oder eine VPC-Endpunktrichtlinie könnte es einem Prinzipal ermöglichen, den Endpunkt zu verwenden, um bestimmte KMS-Schlüssel [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)aufzurufen. Wenn der Prinzipal jedoch nicht über diese Berechtigungen aus einer Schlüsselrichtlinie, IAM-Richtlinie oder Erteilung verfügt, schlägt die Anforderung fehl.
Sie können beim Erstellen des Endpunkts eine VPC-Endpunktrichtlinie erstellen und die VPC-Endpunktrichtlinie jederzeit ändern. Verwenden Sie die VPC-Managementkonsole oder die [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html)Operationen [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)oder. Sie können eine VPC-Endpunktrichtlinie auch [mithilfe einer AWS CloudFormation Vorlage](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) erstellen und ändern. Hilfe zur Verwendung der VPC-Managementkonsole finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) und [Ändern eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#modify-interface-endpoint) im *AWS PrivateLink -Leitfaden*.
**Private Hostnamen**
Wenn Sie beim Erstellen Ihres VPC-Endpunkts private Hostnamen aktiviert waren, müssen Sie die URL des Endpunkts in Ihren CLI-Befehlen oder in Ihrer Anwendungskonfiguration angeben. In diesem Fall wird der standardmäßige AWS KMS -DNS-Hostname in Ihren VPC-Endpunkt aufgelöst. Der AWS CLI und SDKs verwenden standardmäßig diesen Hostnamen, sodass Sie den VPC-Endpunkt verwenden können, um eine Verbindung zu einem AWS KMS regionalen Endpunkt herzustellen, ohne etwas an Ihren Skripten und Anwendungen zu ändern.
Zur Verwendung privater Hostnamen müssen die Attribute `enableDnsHostnames` und `enableDnsSupport` Ihrer VPC auf `true` eingestellt sein. Verwenden Sie den Vorgang, um diese Attribute festzulegen. [ModifyVpcAttribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcAttribute.html) Details dazu finden Sie unter [Anzeigen und Aktualisieren von DNS-Attributen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) im *Amazon-VPC-Benutzerhandbuch*.
# Verwenden Sie VPC-Endpunkte, um den Zugriff auf Ressourcen zu kontrollieren AWS KMS
Sie können den Zugriff auf AWS KMS Ressourcen und Vorgänge steuern, wenn die Anfrage von einer VPC kommt oder einen VPC-Endpunkt verwendet. Verwenden Sie dazu einen der folgenden [globalen Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys) in einer [Schlüsselrichtlinie](key-policies.md) oder [IAM-Richtlinie](iam-policies.md).
+ Verwenden Sie den `aws:sourceVpce`-Bedingungsschlüssel zum Erteilen oder Beschränken des Zugriffs anhand des VPC-Endpunkts.
+ Verwenden Sie den `aws:sourceVpc`-Bedingungsschlüssel zum Erteilen oder Beschränken des Zugriffs anhand des VPC, auf der der private Endpunkt gehostet wird.
**Anmerkung**
Beim Erstellen von Schlüsselrichtlinien und IAM-Richtlinien anhand von Ihrem VPC-Endpunkt ist Vorsicht geboten. Wenn eine Richtlinienerklärung vorschreibt, dass Anfragen von einer bestimmten VPC oder einem VPC-Endpunkt kommen, schlagen Anfragen von integrierten AWS Diensten, die eine AWS KMS Ressource in Ihrem Namen verwenden, möglicherweise fehl. Weitere Informationen dazu finden Sie unter [Verwendung von VPC-Endpunktbedingungen in Richtlinien mit Berechtigungen AWS KMS](conditions-aws.md#conditions-aws-vpce).
Weiterhin ist der Bedingungsschlüssel `aws:sourceIP` nicht wirksam, wenn die Anforderung von einem [Amazon-VPC-Endpunkt](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) kommt. Um die Anforderungen an einen VPC-Endpunkt zu beschränken, verwenden Sie die Bedingungsschlüssel `aws:sourceVpce` oder `aws:sourceVpc`. Weitere Informationen finden Sie unter [Identity and Access Management für VPC-Endpunkte und VPC-Endpunkt-Services](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html) im *AWS PrivateLink -Leitfaden*.
Sie können diese globalen Bedingungsschlüssel verwenden, um den Zugriff auf AWS KMS keys (KMS-Schlüssel), Aliase und solche Operationen zu kontrollieren, [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)die nicht von einer bestimmten Ressource abhängen.
Die folgende Beispiel-Schlüsselrichtlinie erlaubt es einem Benutzer z. B., nur dann kryptografische Operationen mit einem KMS-Schlüssel durchzuführen, wenn die Anforderung den angegebenen VPC-Endpunkt nutzt. Wenn ein Benutzer eine Anfrage an stellt AWS KMS, wird die VPC-Endpunkt-ID in der Anfrage mit dem `aws:sourceVpce` Bedingungsschlüsselwert in der Richtlinie verglichen. Wenn sie nicht übereinstimmen, wird die Anforderung abgelehnt.
Um eine Richtlinie wie diese zu verwenden, ersetzen Sie die AWS-Konto Platzhalter-ID und den VPC-Endpunkt IDs durch gültige Werte für Ihr Konto.
------
#### [ JSON ]
****
```
{
"Id": "example-key-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableIAMpolicies",
"Effect": "Allow",
"Principal": {"AWS":["111122223333"]},
"Action": ["kms:*"],
"Resource": "*"
},
{
"Sid": "Restrict usage to my VPC endpoint",
"Effect": "Deny",
"Principal": "*",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-1234abcdf5678c90a"
}
}
}
]
}
```
------
Sie können auch den `aws:sourceVpc`-Bedingungsschlüssel verwenden, um den Zugriff auf Ihre KMS-Schlüssel anhand der VPC, in der sich der VPC-Endpunkt befindet, zu beschränken.
Die folgende Beispiel-Schlüsselrichtlinie erlaubt nur dann Befehle zur Verwaltung des KMS-Schlüssels, wenn sie von `vpc-12345678` stammen. Außerdem erlaubt sie nur Befehle, die den KMS-Schlüssel für kryptographische Operationen verwenden, wenn sie von `vpc-2b2b2b2b` stammen. Sie verwenden eine solche Richtlinie wie diese möglicherweise, wenn eine Anwendung in einer VPC ausgeführt wird, aber eine zweite, isolierte VPC für die Verwaltungsfunktionen genutzt wird.
Um eine Richtlinie wie diese zu verwenden, ersetzen Sie die AWS-Konto Platzhalter-ID und den VPC-Endpunkt IDs durch gültige Werte für Ihr Konto.
------
#### [ JSON ]
****
```
{
"Id": "example-key-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAdministrativeActionsFromVPC",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"kms:Create*",
"kms:Enable*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-12345678"
}
}
},
{
"Sid": "AllowKeyUsageFromVPC2b2b2b2b",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "vpc-2b2b2b2b"
}
}
},
{
"Sid": "AllowReadActionsEverywhere",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": [
"kms:Describe*",
"kms:List*",
"kms:Get*"
],
"Resource": "*"
}
]
}
```
------
# AWS KMS Anfragen protokollieren, die einen VPC-Endpunkt verwenden
AWS CloudTrail protokolliert alle Operationen, die den VPC-Endpunkt verwenden. Wenn eine Anfrage an einen VPC-Endpunkt AWS KMS verwendet, erscheint die VPC-Endpunkt-ID im [AWS CloudTrail Protokolleintrag](logging-using-cloudtrail.md), der die Anfrage aufzeichnet. Sie können die Endpunkt-ID verwenden, um die Nutzung Ihres AWS KMS VPC-Endpunkts zu überprüfen.
Ihre CloudTrail Protokolle enthalten jedoch keine Operationen, die von Prinzipalen in anderen Konten angefordert wurden, oder Anfragen für AWS KMS Operationen mit KMS-Schlüsseln und -Aliasnamen in anderen Konten. Um Ihre VPC zu schützen, werden Anfragen, die durch eine VPC-Endpunktrichtlinie abgelehnt wurden, aber andernfalls zugelassen worden wären, nicht aufgezeichnet. [AWS CloudTrail](logging-using-cloudtrail.md)
Dieser Beispiel-Protokolleintrag zeichnet z. B. eine [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)-Anforderung auf, die den VPC-Endpunkt genutzt hat. Das Feld `vpcEndpointId` erscheint am Ende des Protokolleintrags.
```
{
"eventVersion":"1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "EX_PRINCIPAL_ID",
"arn": "arn:aws:iam::111122223333:user/Alice",
"accessKeyId": "EXAMPLE_KEY_ID",
"accountId": "111122223333",
"userName": "Alice"
},
"eventTime":"2018-01-16T05:46:57Z",
"eventSource":"kms.amazonaws.com",
"eventName":"GenerateDataKey",
"awsRegion":"eu-west-1",
"sourceIPAddress":"172.01.01.001",
"userAgent":"aws-cli/1.14.23 Python/2.7.12 Linux/4.9.75-25.55.amzn1.x86_64 botocore/1.8.27",
"requestParameters":{
"keyId":"1234abcd-12ab-34cd-56ef-1234567890ab",
"numberOfBytes":128
},
"responseElements":null,
"requestID":"a9fff0bf-fa80-11e7-a13c-afcabff2f04c",
"eventID":"77274901-88bc-4e3f-9bb6-acf1c16f6a7c",
"readOnly":true,
"resources":[{
"ARN":"arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId":"111122223333",
"type":"AWS::KMS::Key"
}],
"eventType":"AwsApiCall",
"recipientAccountId":"111122223333",
"vpcEndpointId": "vpce-1234abcdf5678c90a"
}
```