外部キーストアプロキシとの接続オプションを選択する - AWS Key Management Service
パブリックエンドポイント接続VPC エンドポイントサービス接続

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部キーストアプロキシとの接続オプションを選択する

外部キーストアを作成する前に、 が外部キーストアコンポーネントと AWS KMS 通信する方法を決定する接続オプションを選択します。選択した接続オプションによって、残りの計画プロセスが決まります。

外部キーストアを作成する場合は、 が外部キーストアプロキシと AWS KMS 通信する方法を決定する必要があります。この選択により、必要なコンポーネントとその設定方法が決まります。 は次の接続オプション AWS KMS をサポートしています。

パフォーマンスとセキュリティの目標に合ったオプションを選択します。

開始する前に、外部キーストアが必要であることを確認してください。ほとんどのお客様は、キーマテリアルでバックアップされた KMS AWS KMS キーを使用できます。

考慮事項

  • 外部キーストアプロキシが外部キーマネージャーに組み込まれている場合は、接続が事前に決められている可能性があります。ガイダンスについては、外部キーマネージャーまたは外部キーストアプロキシのドキュメントを参照してください。

  • 外部キーストアプロキシの接続オプションは、稼働中の外部キーストアでも変更できます。ただし、中断を最小限に抑え、エラーを回避し、データを暗号化する暗号化キーに継続的にアクセスできるように、プロセスを慎重に計画して実行する必要があります。

パブリックエンドポイント接続

AWS KMS は、パブリックエンドポイントを使用してインターネット経由で外部キーストアプロキシ (XKS プロキシ) に接続します。

この接続オプションはセットアップと保守が簡単で、一部のキー管理モデルとも問題なく連携します。ただし、一部の組織のセキュリティ要件を満たしていない場合があります。

パブリックエンドポイント接続

要件

パブリックエンドポイント接続を選択する場合、以下が必要です。

  • 外部キーストアプロキシは、パブリックにルーティング可能なエンドポイントからアクセスできる必要があります。

  • プロキシ URI パス値が異なる場合は、複数の外部キーストアに同じパブリックエンドポイントを使用できます。

  • キーストアが異なる にある場合でも AWS リージョン、パブリックエンドポイント接続を持つ外部キーストアと、同じ 内の VPC エンドポイントサービス接続を持つ外部キーストアに同じエンドポイントを使用することはできません AWS アカウント。

  • 外部キーストアでサポートされている公開認証機関が発行した TLS 証明書を取得する必要があります。リストについては、「Trusted Certificate Authorities」(信頼された証明機関) を参照してください。

    TLS 証明書のサブジェクト共通名 (CN) は、外部キーストアプロキシのプロキシ URI エンドポイントのドメイン名と一致する必要があります。例えば、パブリックエンドポイントが https://myproxy.xks.example.com の場合、TLS、TLS 証明書の CN は、myproxy.xks.example.com または *.xks.example.com である必要があります。

  • AWS KMS と外部キーストアプロキシ間のファイアウォールで、プロキシのポート 443 との間のトラフィックが許可されていることを確認します。 は、IPv4 経由でポート 443 で AWS KMS 通信します。この値は設定できません。

外部キーストアのすべての要件については、前提条件を構成するを参照してください。

VPC エンドポイントサービス接続

AWS KMS は、作成および設定する Amazon VPC エンドポイントサービスへのインターフェイスエンドポイントを作成して、外部キーストアプロキシ (XKS プロキシ) に接続します。ユーザーは、VPC エンドポイントサービスを作成し、VPC を外部キーマネージャーに接続する責任があります。

エンドポイントサービスの通信には、AWS Direct Connect を含むすべてのサポートされている Network-to-Amazon VPC オプションを使用できます。

この接続オプションは、セットアップと保守が複雑です。ただし AWS PrivateLink、 を使用します。これにより、 AWS KMS はパブリックインターネットを使用せずに Amazon VPC と外部キーストアプロキシにプライベートに接続できます。

外部キーストアプロキシは Amazon VPC にあります。

VPC エンドポイントサービス接続 - VPC 内の XKS プロキシ

または、外部キーストアプロキシを の外部に配置し AWS クラウド 、Amazon VPC エンドポイントサービスを との安全な通信にのみ使用できます AWS KMS。

VPC エンドポイントサービス接続 - の外部にある XKS プロキシ AWS

外部キーストアを別の が所有する Amazon VPC エンドポイントサービスに接続することもできます AWS アカウント。どちらも、 AWS KMS と VPC エンドポイントサービス間の通信を許可するために必要なアクセス許可 AWS アカウント が必要です。

詳細はこちら:

  • 前提条件の組み合わせを含む、外部キーストアを作成するためのプロセスを確認します。外部キーストアを作成する際に、必要なコンポーネントがすべて揃っていることを確認するのに役立ちます。

  • 外部キーストア管理者およびユーザーが必要とする許可を含む、外部キーストアへのアクセスを制御する方法について説明します。

  • が外部キーストア AWS KMS に記録する Amazon CloudWatch メトリクスとディメンションについて説明します。パフォーマンスや運用上の問題の兆候を早期に検出するために、外部キーストアをモニタリングするアラームを作成することを強くお勧めします。