翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 外部キーストアプロキシとの接続オプションを選択する
外部キーストアを作成する前に、 が外部キーストアコンポーネントと AWS KMS 通信する方法を決定する接続オプションを選択します。選択した接続オプションによって、残りの計画プロセスが決まります。
外部キーストアを作成する場合は、 が[外部キーストアプロキシ](keystore-external.md#concept-xks-proxy)と AWS KMS 通信する方法を決定する必要があります。この選択により、必要なコンポーネントとその設定方法が決まります。 は次の接続オプション AWS KMS をサポートしています。
+ [パブリックエンドポイント接続](#xks-connectivity-public-endpoint)
+ [VPC エンドポイントサービス接続](#xks-vpc-connectivity)
パフォーマンスとセキュリティの目標に合ったオプションを選択します。
開始する前に、[外部キーストアが必要であることを確認してください](keystore-external.md#do-i-need-xks)。ほとんどのお客様は、キーマテリアルでバックアップされた KMS AWS KMS キーを使用できます。
**考慮事項**
+ 外部キーストアプロキシが外部キーマネージャーに組み込まれている場合は、接続が事前に決められている可能性があります。ガイダンスについては、外部キーマネージャーまたは外部キーストアプロキシのドキュメントを参照してください。
+ [外部キーストアプロキシの接続オプション](update-xks-keystore.md)は、稼働中の外部キーストアでも変更できます。ただし、中断を最小限に抑え、エラーを回避し、データを暗号化する暗号化キーに継続的にアクセスできるように、プロセスを慎重に計画して実行する必要があります。
## パブリックエンドポイント接続
AWS KMS は、パブリックエンドポイントを使用してインターネット経由で外部キーストアプロキシ (XKS プロキシ) に接続します。
この接続オプションはセットアップと保守が簡単で、一部のキー管理モデルとも問題なく連携します。ただし、一部の組織のセキュリティ要件を満たしていない場合があります。
![\[パブリックエンドポイント接続\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/xks-public-endpoint-60.png)
**要件**
パブリックエンドポイント接続を選択する場合、以下が必要です。
+ 外部キーストアプロキシは、パブリックにルーティング可能なエンドポイントからアクセスできる必要があります。
+ [プロキシ URI パス](create-xks-keystore.md#require-path)値が異なる場合は、複数の外部キーストアに同じパブリックエンドポイントを使用できます。
+ キーストアが異なる にある場合でも AWS リージョン、パブリックエンドポイント接続を持つ外部キーストアと、同じ 内の VPC エンドポイントサービス接続を持つ外部キーストアに同じエンドポイントを使用することはできません AWS アカウント。
+ 外部キーストアでサポートされている公開認証機関が発行した TLS 証明書を取得する必要があります。リストについては、「[Trusted Certificate Authorities](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities)」(信頼された証明機関) を参照してください。
TLS 証明書のサブジェクト共通名 (CN) は、[外部キーストアプロキシのプロキシ URI エンドポイント](create-xks-keystore.md#require-endpoint)のドメイン名と一致する必要があります。例えば、パブリックエンドポイントが `https://myproxy.xks.example.com` の場合、TLS、TLS 証明書の CN は、`myproxy.xks.example.com` または `*.xks.example.com` である必要があります。
+ AWS KMS と外部キーストアプロキシ間のファイアウォールで、プロキシのポート 443 との間のトラフィックが許可されていることを確認します。IPv4 経由でポート 443 で AWS KMS 通信します。この値は設定できません。
外部キーストアのすべての要件については、[前提条件を構成する](create-xks-keystore.md#xks-requirements)を参照してください。
## VPC エンドポイントサービス接続
AWS KMS は、作成した Amazon VPC エンドポイントサービスへのインターフェイスエンドポイントを作成して、外部キーストアプロキシ (XKS プロキシ) に接続します。ユーザーは、[VPC エンドポイントサービス](vpc-connectivity.md)を作成し、VPC を外部キーマネージャーに接続する責任があります。
エンドポイントサービスの通信には、[AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/) を含むすべての[サポートされている Network-to-Amazon VPC オプション](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html)を使用できます。
この接続オプションは、セットアップと保守が複雑です。ただし AWS PrivateLink、 を使用します。これにより、 AWS KMS はパブリックインターネットを使用せずに Amazon VPC と外部キーストアプロキシにプライベートに接続できます。
外部キーストアプロキシは Amazon VPC にあります。
![\[VPC エンドポイントサービス接続 - VPC 内の XKS プロキシ\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/xks-proxy-in-vpc-60.png)
または、外部キーストアプロキシを の外部に配置し AWS クラウド 、Amazon VPC エンドポイントサービスを との安全な通信にのみ使用できます AWS KMS。
![\[VPC エンドポイントサービス接続 - の外部にある XKS プロキシ AWS\]](http://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/images/xks-proxy-via-vpc-60.png)
外部キーストアを別の が所有する Amazon VPC エンドポイントサービスに接続することもできます AWS アカウント。どちらも、 AWS KMS と VPC エンドポイントサービス間の通信を許可するために必要な[アクセス許可](authorize-xks-key-store.md#authorize-xks-managers) AWS アカウント が必要です。
**詳細はこちら:**
+ [前提条件の組み合わせ](create-xks-keystore.md#xks-requirements)を含む、外部キーストアを作成するためのプロセスを確認します。外部キーストアを作成する際に、必要なコンポーネントがすべて揃っていることを確認するのに役立ちます。
+ 外部キーストア管理者およびユーザーが必要とする許可を含む、[外部キーストアへのアクセスを制御する](authorize-xks-key-store.md)方法について説明します。
+ が外部キーストア AWS KMS に記録する [Amazon CloudWatch メトリクスとディメンション](monitoring-cloudwatch.md#kms-metrics)について説明します。パフォーマンスや運用上の問題の兆候を早期に検出するために、外部キーストアをモニタリングするアラームを作成することを強くお勧めします。
# VPC エンドポイントサービス接続を設定する
このセクションのガイダンスを使用して、[VPC エンドポイントサービス接続](choose-xks-connectivity.md#xks-vpc-connectivity)を使用する外部キーストアに必要な AWS リソースおよび関連コンポーネントを作成および設定します。この接続オプションに一覧表示されているリソースは、[すべての外部キーストアに必要なリソース](create-xks-keystore.md#xks-requirements)を補足するものです。必要なリソースを作成、設定後に、[外部キーストアを作成](create-xks-keystore.md)できます。
Amazon VPC で外部キーストアプロキシを見つけるか、 の外部でプロキシを見つけ AWS て、VPC エンドポイントサービスを通信に使用できます。
開始する前に、[外部キーストアが必要であることを確認してください](keystore-external.md#do-i-need-xks)。ほとんどのお客様は、キーマテリアルでバックアップされた KMS AWS KMS キーを使用できます。
**注記**
VPC エンドポイントサービスの接続に必要な要素の一部は、外部キーマネージャーに含まれている場合があります。また、ソフトウェアに追加の設定要件が存在する場合があります。このセクションの AWS リソースを作成して設定する前に、プロキシとキーマネージャーのドキュメントを参照してください。
**Topics**
+ [
## VPC エンドポイントサービス接続の要件
](#xks-vpce-service-requirements)
+ [
## ステップ 1: Amazon VPC とサブネットを作成する
](#xks-create-vpc)
+ [
## ステップ 2: ターゲットグループを作成する
](#xks-target-group)
+ [
## ステップ 3: Network Load Balancer を作成する
](#xks-nlb)
+ [
## ステップ 4: VPC エンドポイントサービスを作成する
](#xks-vpc-svc)
+ [
## ステップ 5: プライベート DNS 名ドメインを検証する
](#xks-private-dns)
+ [
## ステップ 6: AWS KMS に VPC エンドポイントサービスへの接続を許可する
](#xks-vpc-authorize-kms)
## VPC エンドポイントサービス接続の要件
外部キーストアの VPC エンドポイントサービス接続を選択する場合、次のリソースが必要です。
+ 外部キーマネージャーに接続されている Amazon VPC。2 つの異なるアベイラビリティーゾーンで 2 つ以上のプライベート[サブネット](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html)が必要です。
外部キーストアでの使用の[要件を満たしている](#xks-vpc-requirements)場合は、外部キーストアに既存の Amazon VPC を使用できます。複数の外部キーストアが Amazon VPC を共有できますが、各外部キーストアに独自の VPC エンドポイントサービスとプライベート DNS 名が必要です。
+ [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) と[ターゲットグループ](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html)を備え、[AWS PrivateLinkを搭載した Amazon VPC エンドポイントサービスです](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html)。
エンドポイントサービスは承認を要求できません。また、許可されたプリンシパルとして AWS KMS を追加する必要があります。これにより、 AWS KMS は外部キーストアプロキシと通信できるようにインターフェイスエンドポイントを作成できます。
+ AWS リージョン内で一意の、VPC エンドポイントサービスのプライベート DNS 名です。
プライベート DNS 名は、上位のパブリックドメインのサブドメインである必要があります。例えば、プライベート DNS 名が `myproxy-private.xks.example.com` の場合、`xks.example.com` または `example.com` などのパブリックドメインのサブドメインである必要があります。
プライベート DNS 名の DNS ドメインの[所有権を検証する](#xks-private-dns)必要があります。
+ 外部キーストアプロキシの[サポートされている公開認証機関](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities)が発行した TLS 証明書。
TLS 証明書のサブジェクト共通名 (CN) は、プライベート DNS 名と一致している必要があります。例えば、プライベート DNS 名が `myproxy-private.xks.example.com` の場合、TLS 証明書の CN は、`myproxy-private.xks.example.com` または `*.xks.example.com` である必要があります。
+ ネットワークレイテンシーを最小限に抑えるには、[外部キーマネージャー](keystore-external.md#concept-ekm)に最も近い[サポートされている AWS リージョン](keystore-external.md#xks-regions) に AWS コンポーネントを作成します。可能な場合は、ネットワークラウンドトリップ時間 (RTT) が 35 ミリ秒以下のリージョンを選択します。
外部キーストアのすべての要件については、[前提条件を構成する](create-xks-keystore.md#xks-requirements)を参照してください。
## ステップ 1: Amazon VPC とサブネットを作成する
VPC エンドポイントサービス接続には、2 つ以上のプライベートサブネットをもつ外部キーマネージャーに接続された Amazon VPC が必要です。Amazon VPC を作成することも、外部キーストアの要件を満たす既存の Amazon VPC を使用することもできます。新しい Amazon VPC 作成のヘルプについては、「Amazon Virtual Private Cloud ユーザーガイド」の「[VPC を作成する](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC)」を参照してください。
### Amazon VPC の要件
Amazon VPC エンドポイントサービスには、外部キーストアと連動するために次のプロパティが必要です。
+ 外部キーストアと同じ[サポートされるリージョン](keystore-external.md#xks-regions)に存在する必要があります。
+ それぞれ異なるアベイラビリティーゾーンに、2 つ以上のプライベートサブネットが必要です。
+ Amazon VPC のプライベート IP アドレス範囲が、[外部キーマネージャー](keystore-external.md#concept-ekm)をホストするデータセンターのプライベート IP アドレス範囲と重複しないようにする必要があります。
+ すべてのコンポーネントが IPv4 を使用する必要があります。
Amazon VPC を外部キーストアプロキシに接続するには、多数の方法があります。必要なパフォーマンスとセキュリティのニーズを満たすオプションを選択します。リストについては、「[VPC を他のネットワークに接続する](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html)」および「[Network-to-Amazon VPC の接続オプション](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html)」を参照してください。詳細については、「[Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)」、および「[AWS Site-to-Site VPN ユーザーガイド](https://docs.aws.amazon.com/vpn/latest/s2svpn/)」を参照してください。
### 外部キーストア用 Amazon VPC を作成する
次の手順に従って、外部キーストア用の Amazon VPC を作成します。Amazon VPC は、[VPC エンドポイントサービス接続](choose-xks-connectivity.md)オプションを選択した場合にのみ必要です。外部キーストアの要件を満たす既存の Amazon VPC を使用できます。
次の必須値を使用して、「[VPC、サブネット、他の VPC リソースを作成する](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-and-other-resources)」トピックの手順に従います。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
| --- | --- |
| IPv4 CIDR ブロック | VPC の IP アドレスを入力します。Amazon VPC のプライベート IP アドレス範囲が、[外部キーマネージャー](keystore-external.md#concept-ekm)をホストするデータセンターのプライベート IP アドレス範囲と重複しないようにする必要があります。 |
| アベイラビリティーゾーン数 (AZ) | 2 以上 |
| パブリックサブネット数 | 何も必要ありません (0) |
| プライベートサブネット数 | AZ ごとに 1 つ |
| NAT ゲートウェイ | 何も必要ありません。 |
| VPC エンドポイント | 何も必要ありません。 |
| [Enable DNS hostnames] (DNS ホスト名を有効化) | はい |
| DNS 解決を有効にする | はい |
必ず VPC 通信をテストしてください。例えば、外部キーストアプロキシが Amazon VPC にない場合は、Amazon VPC に Amazon EC2 インスタンスを作成し、Amazon VPC が外部キーストアプロキシと通信できることを検証します。
### VPC を外部キーマネージャーに接続する
Amazon VPC がサポートする[ネットワーク接続オプション](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html)のいずれかを使用して、外部キーマネージャーをホストするデータセンターに VPC を接続します。VPC 内の Amazon EC2 インスタンス (または、VPC 内にある場合は外部キーストアプロキシ) がデータセンターおよび外部キーマネージャーと通信できることを確認します。
## ステップ 2: ターゲットグループを作成する
必要な VPC エンドポイントサービスを作成する前に、必要なコンポーネント、Network Load Balancer (NLB)、ターゲットグループを作成します。Network Load Balancer (NLB) は、リクエストを複数の正常なターゲットに分散し、いずれのターゲットもリクエストを処理できるようにします。このステップでは、外部キーストアプロキシ用に 2 つ以上のホストを含むターゲットグループを作成し、そのターゲットグループに IP アドレスを登録します。
次の必須値を使用して、「[ターゲットグループの設定](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-target-group)」トピックの手順に従います。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
| --- | --- |
| 対象タイプ | IP アドレス |
| プロトコル | TCP |
| ポート | 443 |
| IP アドレスタイプ | IPv4 |
| VPC | 外部キーストアの VPC エンドポイントサービスを作成する VPC を選択します。 |
| ヘルスチェックプロトコルとパス | ヘルスチェックプロトコルとパスは、外部キーストアプロキシの設定に応じて異なります。外部キーマネージャーまたは外部キーストアプロキシのドキュメントを参照してください。ターゲットグループのヘルスチェック設定に関する一般情報は、Network Load Balancer 用 Elastic Load Balancing ユーザーガイドの「[Health checks for your target groups](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-health-checks.html)」を参照してください。 |
| Network | その他のプライベート IP アドレス |
| IPv4 アドレス | 外部キーストアプロキシのプライベートアドレス |
| ポート | 443 |
## ステップ 3: Network Load Balancer を作成する
Network Load Balancer は、外部キーストアプロキシへの AWS KMS からのリクエストなどのネットワークトラフィックを、設定されたターゲットに分散します。
「[ロードバランサーとリスナーの設定](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-load-balancer)」トピックの手順に従ってリスナーを設定および追加し、次の必須値を使用してロードバランサーを作成します。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
| --- | --- |
| スキーム | 内部 |
| IP アドレスタイプ | IPv4 |
| ネットワークマッピング | 外部キーストアの VPC エンドポイントサービスを作成する VPC を選択します。 |
| マッピング | VPC サブネットに設定した両方のアベイラビリティーゾーン (2 つ以上) を選択します。サブネット名とプライベート IP アドレスを検証します。 |
| プロトコル | TCP |
| ポート | 443 |
| デフォルトアクション: 転送 | Network Load Balancer の[ターゲットグループ](#xks-target-group)を選択します。 |
## ステップ 4: VPC エンドポイントサービスを作成する
通常、サービスへのエンドポイントを作成します。ただし、VPC エンドポイントサービスを作成すると、ユーザーはプロバイダーになり、サービスへのエンドポイント AWS KMS が作成されます。外部キーストアの場合は、前のステップで作成した Network Load Balancer で VPC エンドポイントサービスを作成します。VPC エンドポイントサービスは、外部キーストア AWS アカウント と同じ にすることも、別の にすることもできます AWS アカウント。
複数の外部キーストアが Amazon VPC を共有できますが、各外部キーストアに独自の VPC エンドポイントサービスとプライベート DNS 名が必要です。
「[エンドポイントサービスの作成](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html#create-endpoint-service-nlb)」トピックの手順に従って、次の必須値を含む VPC エンドポイントサービスを作成します。他のフィールドについては、デフォルト値を受け入れ、必要に応じて名前を指定します。
| フィールド | 値 |
| --- | --- |
| ロードバランサーのタイプ | Network |
| 使用可能なロードバランサー | 前のステップで作成した [Network Load Balancer](#xks-nlb) を選択します。新しいロードバランサーがリストに表示されない場合は、その状態がアクティブであることを確認します。ロードバランサーの状態がプロビジョニングからアクティブに変わるまでに、数分かかる場合があります。 |
| 承認が必要です | False。チェックボックスをオフにします。acceptance*.* AWS KMS can not connect to the VPC endpoint service without a manual acceptance。承認が必要な場合、[外部キーストアを作成](create-xks-keystore.md)しようとすると、`XksProxyInvalidConfigurationException` の例外が発生して失敗します。 |
| プライベート DNS 名を有効にする | プライベート DNS 名をサービスに関連付ける |
| プライベート DNS 名 | AWS リージョンで一意のプライベート DNS 名を入力します。プライベート DNS 名は、上位のパブリックドメインのサブドメインである必要があります。例えば、プライベート DNS 名が `myproxy-private.xks.example.com` の場合、`xks.example.com` または `example.com` などのパブリックドメインのサブドメインである必要があります。このプライベート DNS 名は、外部キーストアプロキシに設定されている TLS 証明書のサブジェクト共通名 (CN) と一致する必要があります。例えば、プライベート DNS 名が `myproxy-private.xks.example.com` の場合、TLS 証明書の CN は、`myproxy-private.xks.example.com` または `*.xks.example.com` である必要があります。証明書とプライベート DNS 名が一致しない場合、外部キーストアを外部キーストアプロキシに接続しようとすると、`XKS_PROXY_INVALID_TLS_CONFIGURATION` の接続エラーコードが発生して失敗します。詳細については、「[一般的な設定エラー](xks-troubleshooting.md#fix-xks-gen-configuration)」を参照してください。 |
| サポートされている IP アドレスのタイプ | IPv4 |
## ステップ 5: プライベート DNS 名ドメインを検証する
VPC エンドポイントサービスを作成すると、そのドメイン検証ステータスは `pendingVerification` になります。VPC エンドポイントサービスを使用して外部キーストアを作成する前に、このステータスが `verified` になっている必要があります。プライベート DNS 名に関連付けられたドメインを所有していることを検証するには、パブリック DNS サーバーに TXT レコードを作成する必要があります。
たとえば、VPC エンドポイントサービスのプライベート DNS 名が の場合`myproxy-private.xks.example.com`、 `xks.example.com`または などのパブリックドメインに TXT レコードを作成する必要があります。 は最初に で TXT レコードを探`xks.example.com`し`example.com`、次に で TXT レコード AWS PrivateLink を探します`example.com`。
**ヒント**
TXT レコードを追加した後、**[Domain verification status]** (ドメイン検証ステータス) の値が `pendingVerification` から `verify` に変わるまでに数分かかる場合があります。
最初に、次のいずれかの方法でドメインの検証ステータスを確認します。有効な値は、`verified`、`pendingVerification`、`failed` です。
+ [Amazon VPC コンソール](https://console.aws.amazon.com/vpc)で、**[Endpoint services]** (エンドポイントサービス) を選択し、エンドポイントサービスを選択します。詳細ペインで、**[Domain verification status]** (ドメイン検証ステータス) を参照してください。
+ [DescribeVpcEndpointServiceConfigurations](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpointServiceConfigurations.html) オペレーションを使用します。`State` 値は `ServiceConfigurations.PrivateDnsNameConfiguration.State` フィールドにあります。
検証ステータスが `verified` でない場合は、[ドメイン所有権の検証](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html#verify-domain-ownership)トピックの手順に従ってドメインの DNS サーバーに TXT レコードを追加し、TXT レコードが公開されていることを検証します。次に、検証ステータスを再度チェックします。
プライベート DNS ドメイン名の A レコードを作成する必要はありません。が VPC エンドポイントサービスへのインターフェイスエンドポイント AWS KMS を作成すると、 AWS PrivateLink は AWS KMS VPC 内のプライベートドメイン名に必要な A レコードを持つホストゾーンを自動的に作成します。これは、VPC エンドポイントサービス接続を備える外部キーストアの場合、[外部キーストア](xks-connect-disconnect.md)を外部キーストアプロキシに接続したときに発生します。
## ステップ 6: AWS KMS に VPC エンドポイントサービスへの接続を許可する
Amazon VPC エンドポイントサービスのアクセス許可を管理するには、次の手順を参照してください。各ステップは、外部キーストア、VPC エンドポイントサービス、 AWS アカウントの間の接続と設定によって異なります。
------
#### [ Same AWS アカウント ]
VPC エンドポイントサービスが外部キーストア AWS アカウント と同じ によって所有されている場合、VPC エンドポイントサービスのプリン**シパルを許可する**リスト AWS KMS に を追加する必要があります。これにより、 AWS KMS は VPC エンドポイントサービスへのインターフェイスエンドポイントを作成できます。 AWS KMS が許可されたプリンシパルでない場合、外部キーストアの作成の試行は`XksProxyVpcEndpointServiceNotFoundException`例外で失敗します。
「AWS PrivateLink ガイド」の「[Manage permissions](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions)」トピックの手順に従ってください。次の必須値を使用します。
| フィールド | 値 |
| --- | --- |
| AWS KMS ARN | cks.kms..amazonaws.com例: `cks.kms.us-east-1.amazonaws.com` |
------
#### [ Cross AWS アカウント ]
VPC エンドポイントサービスが別の によって所有 AWS アカウント されている場合、プリン**シパルを許可**リストに AWS KMS と アカウントの両方を追加する必要があります。これにより、 AWS KMS と外部キーストアは VPC エンドポイントサービスへのインターフェイスエンドポイントを作成できます。 AWS KMS が許可されていないプリンシパルの場合、外部キーストアを作成しようとすると、`XksProxyVpcEndpointServiceNotFoundException` の例外が発生して失敗します。外部キーストアが存在する AWS アカウント ARN を指定する必要があります。
「AWS PrivateLink ガイド」の「[Manage permissions](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions)」トピックの手順に従ってください。次の必須値を使用します。
| フィールド | 値 |
| --- | --- |
| AWS KMS ARN | cks.kms..amazonaws.com例: `cks.kms.us-east-1.amazonaws.com` |
| AWS アカウント ARN | arn:aws:iam::111122223333:role/role\$1name例: `arn:aws:iam::123456789012:role/cks_role` |
------
**Next**: [外部キーストアを作成する](create-xks-keystore.md)