As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Escolher uma opção de conectividade de proxy de um repositório de chaves externo
Antes de criar seu armazenamento de chaves externo, escolha a opção de conectividade que determina como AWS KMS se comunica com os componentes do armazenamento de chaves externo. A opção de conectividade escolhida determinará o restante do processo de planejamento.
Se você estiver criando um armazenamento de chaves externo, precisará determinar como AWS KMS se comunica com seu [proxy de armazenamento de chaves externo](keystore-external.md#concept-xks-proxy). Essa escolha determinará quais componentes você precisa e como você os configura. AWS KMS suporta as seguintes opções de conectividade.
+ [Conectividade de endpoints públicos](#xks-connectivity-public-endpoint)
+ [Conectividade do serviço de endpoint da VPC](#xks-vpc-connectivity)
Escolha a opção que atenda aos seus objetivos de performance e segurança.
Antes de começar, [confirme se você precisa de um armazenamento de chaves externas](keystore-external.md#do-i-need-xks). A maioria dos clientes pode usar chaves KMS apoiadas por material de AWS KMS chaves.
**Considerações**
+ Se seu proxy de armazenamento de chaves externas estiver incorporado ao gerenciador de chaves externas, a conectividade poderá ser predeterminada. Para obter orientações, consulte a documentação do gerenciador de chaves externas ou do proxy de armazenamento de chaves externas.
+ Você pode [alterar a opção de conectividade de proxy de armazenamento de chaves externas](update-xks-keystore.md) mesmo em um armazenamento de chaves externas operacional. Contudo, o processo deve ser planejado e executado com atenção para minimizar interrupções, evitar erros e garantir acesso contínuo às chaves de criptografia que criptografam seus dados.
## Conectividade de endpoints públicos
AWS KMS se conecta ao proxy externo do armazenamento de chaves (proxy XKS) pela Internet usando um endpoint público.
Essa opção de conectividade é mais fácil de configurar e de manter e se alinha bem com alguns modelos de gerenciamento de chaves. No entanto, pode não atender aos requisitos de segurança de algumas organizações.
![\[Conectividade de endpoints públicos\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/xks-public-endpoint-60.png)
**Requisitos**
Se você escolher a conectividade de endpoint público, será necessário realizar as ações a seguir.
+ Seu proxy de armazenamento de chaves externas deve estar acessível em um endpoint roteável publicamente.
+ Você pode usar o mesmo endpoint público para vários armazenamentos de chaves externas, desde que eles usem valores de [caminho do URI do proxy](create-xks-keystore.md#require-path) diferentes.
+ Você não pode usar o mesmo endpoint para um armazenamento de chaves externo com conectividade de endpoint público e qualquer armazenamento de chaves externo com conectividade de serviços de endpoint VPC no mesmo Região da AWS, mesmo que os armazenamentos de chaves estejam em locais diferentes. Contas da AWS
+ É necessário obter um certificado TLS emitido por uma autoridade de certificação pública com suporte para armazenamentos de chaves externas. Para obter uma lista, consulte [Trusted Certificate Authorities](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) (Autoridades de certificação confiáveis).
O nome comum (CN) da entidade no certificado TLS deve corresponder ao nome do domínio no [endpoint do URI do proxy](create-xks-keystore.md#require-endpoint) do armazenamento de chaves externas. Por exemplo, se o endpoint público for `https://myproxy.xks.example.com`, o TLS, o CN no certificado TLS deverá ser `myproxy.xks.example.com` ou `*.xks.example.com`.
+ Certifique-se de que qualquer firewall entre AWS KMS e o proxy externo do armazenamento de chaves permita o tráfego de e para a porta 443 no proxy. AWS KMS se comunica na porta 443. IPv4 Esse valor não é configurável.
Para todos os requisitos de um armazenamento de chaves externas, consulte [Organizar os pré-requisitos](create-xks-keystore.md#xks-requirements).
## Conectividade do serviço de endpoint da VPC
AWS KMS se conecta ao proxy externo do armazenamento de chaves (proxy XKS) criando um endpoint de interface para um serviço de endpoint da Amazon VPC que você cria e configura. Você é responsável por [criar o serviço de endpoint da VPC](vpc-connectivity.md) e por conectar sua VPC ao gerenciador de chaves externas.
Seu serviço de endpoint pode usar qualquer uma das opções de [ network-to-AmazonVPC compatíveis](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) para comunicações, inclusive. [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/)
Essa opção de conectividade é mais complicada de configurar e manter. Mas ele usa AWS PrivateLink, o que permite AWS KMS conectar-se de forma privada à sua Amazon VPC e ao seu proxy externo de armazenamento de chaves sem usar a Internet pública.
Você pode localizar o proxy de armazenamento de chaves externas na Amazon VPC.
![\[Conectividade do serviço de endpoint da VPC: proxy XKS na VPC\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/xks-proxy-in-vpc-60.png)
Como alternativa, você pode localizar seu proxy externo de armazenamento de chaves fora Nuvem AWS e usar seu serviço de endpoint Amazon VPC somente para comunicação segura com. AWS KMS
![\[Conectividade do serviço de endpoint VPC - proxy XKS fora do AWS\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/xks-proxy-via-vpc-60.png)
Você também pode conectar um armazenamento de chaves externo a um serviço de endpoint da Amazon VPC de propriedade de outra pessoa. Conta da AWS Ambos Contas da AWS precisam das [permissões necessárias](authorize-xks-key-store.md#authorize-xks-managers) para permitir a comunicação entre AWS KMS e o serviço de endpoint da VPC
**Saiba mais:**
+ Analise o processo de criação de um armazenamento de chaves externas, incluindo a [montagem dos pré-requisitos](create-xks-keystore.md#xks-requirements). Isso ajudará a garantir que você tenha todos os componentes obrigatórios para criar seu armazenamento de chaves externas.
+ Saiba como [controlar o acesso ao armazenamento de chaves externas](authorize-xks-key-store.md), inclusive as permissões que os administradores e usuários do armazenamento de chaves externas exigem.
+ Saiba mais sobre as [ CloudWatch métricas e dimensões da Amazon](monitoring-cloudwatch.md#kms-metrics) que AWS KMS registram para lojas de chaves externas. É altamente recomendável criar alarmes para monitorar o armazenamento de chaves externas para poder detectar os primeiros sinais de problemas operacionais e de performance.
# Configurar a conectividade do serviço de endpoint da VPC
Use as orientações desta seção para criar e configurar os AWS recursos e os componentes relacionados que são necessários para um armazenamento de chaves externo que usa conectividade de serviço de [endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Os recursos listados para essa opção de conectividade são um complemento aos [recursos obrigatórios para todos os armazenamentos de chaves externas](create-xks-keystore.md#xks-requirements). Depois de criar e configurar os recursos obrigatórios, você pode [criar seu armazenamento de chaves externas](create-xks-keystore.md).
Você pode localizar seu proxy externo de armazenamento de chaves em sua Amazon VPC ou localizar o proxy fora dela AWS e usar seu serviço de endpoint de VPC para comunicação.
Antes de começar, [confirme se você precisa de um armazenamento de chaves externas](keystore-external.md#do-i-need-xks). A maioria dos clientes pode usar chaves KMS apoiadas por material de AWS KMS chaves.
**nota**
Alguns dos elementos obrigatórios para a conectividade do serviço de endpoint da VPC podem estar incluídos no gerenciador de chaves externas. Além disso, seu software pode ter outros requisitos de configuração. Antes de criar e configurar os AWS recursos nesta seção, consulte a documentação do proxy e do gerenciador de chaves.
**Topics**
+ [Requisitos para conectividade do serviço de endpoint da VPC](#xks-vpce-service-requirements)
+ [Etapa 1: criar uma Amazon VPC e sub-redes](#xks-create-vpc)
+ [Etapa 2: criar um grupo de destino](#xks-target-group)
+ [Etapa 3: criar um Network Load Balancer](#xks-nlb)
+ [Etapa 4: criar um serviço de endpoint da VPC](#xks-vpc-svc)
+ [Etapa 5: verificar o domínio do seu nome de DNS privado](#xks-private-dns)
+ [Etapa 6: Autorizar AWS KMS a conexão com o serviço de endpoint da VPC](#xks-vpc-authorize-kms)
## Requisitos para conectividade do serviço de endpoint da VPC
Se você escolher a conectividade do serviço de endpoint da VPC para seu armazenamento de chaves externas, serão necessários os recursos a seguir.
+ Uma Amazon VPC conectada ao gerenciador de chaves externas. Deve ter pelo menos duas [sub-redes](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) privadas em duas zonas de disponibilidade diferentes.
Você pode usar uma Amazon VPC existente para seu armazenamento de chaves externas, desde que ela [atenda aos requisitos](#xks-vpc-requirements) de uso do armazenamento de chaves externas. Vários armazenamentos de chaves externas podem compartilhar uma Amazon VPC, mas cada armazenamento de chaves externas deve ter seu próprio serviço de endpoint da VPC e nome DNS privado.
+ Um [serviço de endpoint da Amazon VPC desenvolvido pelo AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html) com um [balanceador de carga de rede](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) e um [grupo de destino](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html).
O serviço de endpoint não pode exigir aceitação. Além disso, você deve adicionar o AWS KMS como entidade principal autorizada. Isso permite AWS KMS criar endpoints de interface para que ele possa se comunicar com seu proxy externo de armazenamento de chaves.
+ Um nome DNS privado para o serviço de endpoint da VPC exclusivo em sua Região da AWS.
O nome DNS privado deve ser o subdomínio de um domínio público de nível superior. Por exemplo, se o nome DNS privado for `myproxy-private.xks.example.com`, ele deverá ser o subdomínio de um domínio público, como `xks.example.com` ou `example.com`.
É necessário [verificar a propriedade](#xks-private-dns) do domínio DNS para o nome DNS privado.
+ Um certificado TLS emitido por uma [autoridade de certificação pública](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) com suporte para o proxy de armazenamento de chaves externas.
O nome comum (CN) da entidade no certificado TLS deve corresponder ao nome DNS privado. Por exemplo, se o nome DNS privado for `myproxy-private.xks.example.com`, o CN no certificado TLS deverá ser `myproxy-private.xks.example.com` ou `*.xks.example.com`.
+ Para minimizar a latência da rede, crie seus AWS componentes no [suporte Região da AWS](keystore-external.md#xks-regions) mais próximo do seu [gerenciador de chaves externo](keystore-external.md#concept-ekm). Se possível, escolha uma região com um tempo de resposta (RTT) de 35 milissegundos ou menos.
Para todos os requisitos de um armazenamento de chaves externas, consulte [Organizar os pré-requisitos](create-xks-keystore.md#xks-requirements).
## Etapa 1: criar uma Amazon VPC e sub-redes
A conectividade do serviço de endpoint da VPC exige uma Amazon VPC conectada ao gerenciador de chaves externas com pelo menos duas sub-redes privadas. Você pode criar uma Amazon VPC ou usar uma Amazon VPC existente que atenda aos requisitos para armazenamentos de chaves externas. Para obter ajuda sobre como criar uma nova Amazon VPC, consulte [Criar uma VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC) no *Guia do usuário da Amazon Virtual Private Cloud*.
### Requisitos para sua Amazon VPC
O serviço de endpoint VPC da Amazon deve ter as propriedades a seguir para funcionar com repositórios de chaves externos.
+ Deve estar na mesma [região compatível](keystore-external.md#xks-regions) que o repositório de chaves externo.
+ Requer pelo menos duas sub-redes privadas, cada uma em uma zona de disponibilidade diferente.
+ O intervalo de endereços IP privados de sua Amazon VPC não deve se sobrepor ao intervalo de endereços IP privados do data center que hospeda seu [gerenciador de chaves externas](keystore-external.md#concept-ekm).
+ Todos os componentes devem ser usados IPv4.
Você tem muitas opções para conectar a Amazon VPC ao seu proxy de armazenamento de chaves externas. Escolha uma opção que atenda a suas necessidades de performance e segurança. Para ver uma lista, consulte [Conectar sua VPC a outras redes](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) e opções de conectividade de [Network-to-Amazon VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html). Para obter mais detalhes, consulte [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) e o [Guia do usuário do AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/).
### Criar uma Amazon VPC para seu armazenamento de chaves externas
Use as instruções a seguir para criar a Amazon VPC para o armazenamento de chaves externas. Uma Amazon VPC será necessária somente se você escolher a opção de [conectividade do serviço de endpoint da VPC](choose-xks-connectivity.md). Você pode criar uma Amazon VPC existente que atenda aos requisitos de um armazenamento de chaves externas.
Siga as instruções no tópico [Criar uma VPC, sub-redes e outros recursos de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-and-other-resources) usando os valores obrigatórios abaixo. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
| --- | --- |
| IPv4 Bloco CIDR | Insira os endereços IP da VPC. O intervalo de endereços IP privados de sua Amazon VPC não deve se sobrepor ao intervalo de endereços IP privados do data center que hospeda seu [gerenciador de chaves externas](keystore-external.md#concept-ekm). |
| Número de zonas de disponibilidade (AZs) | 2 ou mais |
| Número de sub-redes públicas | Nenhum é obrigatório (0) |
| Número de sub-redes privadas | Um para cada AZ |
| Gateways NAT | Nenhum é obrigatório. |
| Endpoints da VPC | Nenhum é obrigatório. |
| Enable DNS hostnames | Sim |
| Habilitar a resolução de DNS | Sim |
Não se esqueça de testar a comunicação da VPC. Por exemplo, se o proxy de armazenamento de chaves externas não estiver localizado na Amazon VPC, crie uma instância do Amazon EC2 em sua Amazon VPC e verifique se a Amazon VPC pode se comunicar com seu proxy de armazenamento de chaves externas.
### Conectar a VPC ao gerenciador de chaves externas
Conecte a VPC ao data center em que o gerenciador de chaves externas está hospedado usando uma das [opções de conectividade de rede](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) compatíveis com a Amazon VPC. Certifique-se de que a instância do Amazon EC2 na VPC (ou o proxy de repositório de chaves externo, se estiver na VPC) possa se comunicar com o data center e o gerenciador de chaves externas.
## Etapa 2: criar um grupo de destino
Antes de criar o serviço de endpoint da VPC obrigatório, crie seus componentes obrigatórios, um balanceador de carga de rede (NLB) e um grupo de destino. O balanceador de carga de rede (NLB) distribui solicitações entre vários destinos íntegros, e qualquer um deles pode atender à solicitação. Nesta etapa, você cria um grupo de destino com pelo menos dois hosts para seu proxy de armazenamento de chaves externas e registra seus endereços IP com o grupo de destino.
Siga as instruções no tópico [Configure a target group](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-target-group) (Configurar um grupo de destino) usando os valores obrigatórios a seguir. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
| --- | --- |
| Target type | Endereços IP |
| Protocolo | TCP |
| Porta | 443 |
| Tipo de endereço IP | IPv4 |
| VPC | Escolha a VPC em que você criará o serviço de endpoint da VPC para seu armazenamento de chaves externas. |
| Protocolo e caminho de verificação de integridade | O protocolo e o caminho de verificação de integridade serão diferentes da configuração de proxy de armazenamento de chaves externas. Consulte a documentação do gerenciador de chaves externas ou do proxy de armazenamento de chaves externas.Para obter informações gerais sobre como configurar verificações de integridade para grupos de destino, consulte [Health checks for your target groups](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-health-checks.html) (Verificações de integridade de grupos de destino) no Guia do usuário do Elastic Load Balancing para Network Load Balancers. |
| Rede | Outro endereço IP privado |
| IPv4 endereço | Os endereços privados do proxy de armazenamento de chaves externas |
| Portas | 443 |
## Etapa 3: criar um Network Load Balancer
O balanceador de carga de rede distribui o tráfego da rede, incluindo solicitações do AWS KMS para seu proxy de armazenamento de chaves externas, aos destinos configurados.
Siga as instruções no tópico [Configure a load balancer and a listener](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-load-balancer) (Configurar um balanceador de carga e um receptor) para configurar e adicionar um receptor e criar um balanceador de carga usando os valores obrigatórios a seguir. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
| --- | --- |
| Esquema | Interno |
| Tipo de endereço IP | IPv4 |
| Mapeamento de rede | Escolha a VPC em que você criará o serviço de endpoint da VPC para seu armazenamento de chaves externas. |
| Mapeamento | Escolha as duas zonas de disponibilidade (pelo menos duas) que você configurou para as sub-redes da VPC. Verifique os nomes das sub-redes e o endereço IP privado. |
| Protocolo | TCP |
| Porta | 443 |
| Ação padrão: encaminhar para | Escolha o [grupo de destino](#xks-target-group) para seu balanceador de carga de rede. |
## Etapa 4: criar um serviço de endpoint da VPC
Normalmente, você cria um endpoint para um serviço. No entanto, ao criar um serviço de VPC endpoint, você é o provedor e AWS KMS cria um endpoint para seu serviço. Para um armazenamento de chaves externas, crie um serviço de endpoint da VPC com o balanceador de carga de rede criado na etapa anterior. O serviço de VPC endpoint pode estar no mesmo que seu armazenamento Conta da AWS de chaves externo ou em outro. Conta da AWS
Vários armazenamentos de chaves externas podem compartilhar uma Amazon VPC, mas cada armazenamento de chaves externas deve ter seu próprio serviço de endpoint da VPC e nome DNS privado.
Siga as instruções no tópico [Create an endpoint service](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html#create-endpoint-service-nlb) (Criar um serviço de endpoint) para criar seu serviço de endpoint da VPC com os valores obrigatórios a seguir. Para outros campos, aceite os valores padrão e forneça os nomes conforme solicitado.
| Campo | Valor |
| --- | --- |
| Tipo de balanceador de carga | Rede |
| Balanceadores de carga disponíveis | Escolha o [balanceador de carga de rede](#xks-nlb) criado na etapa anterior.Se o novo balanceador de carga não for exibido na lista, verifique se o estado está ativo. Pode demorar alguns minutos para que o estado do balanceador de carga seja alterado de em provisionamento para ativo. |
| Aceitação obrigatória | Falso. Desmarque a caixa de seleção.*Não exija aceitação*. AWS KMS não é possível se conectar ao serviço de endpoint da VPC sem uma aceitação manual. Se a aceitação for obrigatória, as tentativas de [criar o armazenamento de chaves externas](create-xks-keystore.md) falharão com uma exceção `XksProxyInvalidConfigurationException`. |
| Habilitar nome DNS privado | Associar um nome DNS privado ao serviço |
| Nome DNS privado | Insira um nome DNS privado que seja exclusivo na Região da AWS. O nome DNS privado deve ser o subdomínio de um domínio público de nível superior. Por exemplo, se o nome DNS privado for `myproxy-private.xks.example.com`, ele deverá ser o subdomínio de um domínio público, como `xks.example.com` ou `example.com`.Esse nome DNS privado deve corresponder ao nome comum (CN) da entidade no certificado TLS configurado em seu proxy de armazenamento de chaves externas. Por exemplo, se o nome DNS privado for `myproxy-private.xks.example.com`, o CN no certificado TLS deverá ser `myproxy-private.xks.example.com` ou `*.xks.example.com`.Se o certificado e o nome DNS privado não coincidirem, as tentativas de conectar um armazenamento de chaves externas ao proxy de armazenamento de chaves externas falharão com um código de erro de conexão de `XKS_PROXY_INVALID_TLS_CONFIGURATION`. Para obter detalhes, consulte [Erros gerais de configuração](xks-troubleshooting.md#fix-xks-gen-configuration). |
| Tipos de endereço IP compatíveis | IPv4 |
## Etapa 5: verificar o domínio do seu nome de DNS privado
Quando você cria o serviço de endpoint da VPC, seu status de verificação de domínio é `pendingVerification`. Antes de usar o serviço de endpoint da VPC para criar um armazenamento de chaves externas, esse status deve ser `verified`. Para verificar se você é o proprietário do domínio associado ao nome DNS privado, é necessário criar um registro TXT em um servidor DNS público.
Por exemplo, se o nome DNS privado do seu serviço de VPC endpoint `myproxy-private.xks.example.com` for, você deverá criar um registro TXT em um domínio público, `xks.example.com` como `example.com` ou, o que for público. AWS PrivateLink procura o registro TXT primeiro `xks.example.com` e depois ligado. `example.com`
**dica**
Depois que você adicionar um registro TXT, poderá levar alguns minutos para que o valor do **status da verificação do domínio** seja alterado de `pendingVerification` para `verify`.
Para começar, encontre o status de verificação do domínio usando um dos métodos a seguir. Os valores válidos são `verified`, `pendingVerification` e `failed`.
+ No [console da Amazon VPC](https://console.aws.amazon.com/vpc), escolha **Endpoint services** (Serviços de endpoint) e escolha o serviço de endpoint. No painel de detalhes, consulte **Domain verification status** (Status da verificação do domínio).
+ Use a operação [DescribeVpcEndpointServiceConfigurations](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpointServiceConfigurations.html). O valor de `State` está no campo `ServiceConfigurations.PrivateDnsNameConfiguration.State`.
Se o status da verificação não for `verified`, siga as instruções no tópico [Domain ownership verification](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html#verify-domain-ownership) (Verificação de propriedade do domínio) para adicionar um registro TXT ao servidor DNS do domínio e verificar se o registro TXT foi publicado. Em seguida, verifique o status de verificação novamente.
Não é necessário criar um registro A para o nome de domínio DNS privado. Ao AWS KMS criar um endpoint de interface para seu serviço de endpoint de VPC AWS PrivateLink , cria automaticamente uma zona hospedada com o registro A necessário para o nome de domínio privado na VPC. AWS KMS Para armazenamentos de chaves externas com conectividade de serviço de endpoint da VPC, isso acontece quando você [conecta seu armazenamento de chaves externas](xks-connect-disconnect.md) ao proxy de armazenamento de chaves externas.
## Etapa 6: Autorizar AWS KMS a conexão com o serviço de endpoint da VPC
Veja os procedimentos a seguir para gerenciar as permissões de serviço de endpoint da Amazon VPC. Cada etapa depende da conectividade e da configuração entre o repositório de chaves externo, o serviço de endpoint da VPC e a Conta da AWS.
------
#### [ Same Conta da AWS ]
Quando seu serviço de VPC endpoint pertence ao mesmo Conta da AWS que seu armazenamento de chaves externo, você deve adicioná-lo AWS KMS à lista **Permitir diretores** do seu serviço de VPC endpoint. Isso permite AWS KMS criar endpoints de interface para seu serviço de endpoint VPC. Se não AWS KMS for um principal permitido, as tentativas de criar um armazenamento de chaves externo falharão, com uma `XksProxyVpcEndpointServiceNotFoundException` exceção.
Siga as instruções no tópico [Manage permissions](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) (Gerenciar permissões) no *Guia do AWS PrivateLink *. Use o valor obrigatório a seguir.
| Campo | Valor |
| --- | --- |
| AWS KMS ARN | cks.kms..amazonaws.com.rproxy.govskope.caPor exemplo, `cks.kms.us-east-1.amazonaws.com`. |
------
#### [ Cross Conta da AWS ]
**Quando seu serviço de VPC endpoint é de propriedade de outra pessoa, Conta da AWS você deve adicionar ambos AWS KMS e sua conta à lista de diretores permitidos.** Isso permite que AWS KMS seu armazenamento de chaves externo crie endpoints de interface para seu serviço de endpoint de VPC. Se o AWS KMS não for uma entidade principal autorizada, as tentativas de criar um armazenamento de chaves externas falharão, com a exceção `XksProxyVpcEndpointServiceNotFoundException`. Você precisará fornecer o Conta da AWS ARN em que o armazenamento externo de chaves reside.
Siga as instruções no tópico [Manage permissions](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) (Gerenciar permissões) no *Guia do AWS PrivateLink *. Use o valor obrigatório a seguir.
| Campo | Valor |
| --- | --- |
| AWS KMS ARN | cks.kms..amazonaws.com.rproxy.govskope.caPor exemplo, `cks.kms.us-east-1.amazonaws.com`. |
| Conta da AWS ARN | arn:aws:iam::111122223333:role/role\$1namePor exemplo, `arn:aws:iam::123456789012:role/cks_role`. |
------
**Próximo**: [Criar um repositório de chaves externo](create-xks-keystore.md)