As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Escolher uma opção de conectividade de proxy de um repositório de chaves externo Antes de criar seu armazenamento de chaves externo, escolha a opção de conectividade que determina como AWS KMS se comunica com os componentes do armazenamento de chaves externo. A opção de conectividade escolhida determinará o restante do processo de planejamento. Se você estiver criando um armazenamento de chaves externo, precisará determinar como AWS KMS se comunica com seu [proxy de armazenamento de chaves externo](keystore-external.md#concept-xks-proxy). Essa escolha determinará quais componentes você precisa e como você os configura. AWS KMS suporta as seguintes opções de conectividade. + [Conectividade de endpoints públicos](#xks-connectivity-public-endpoint) + [Conectividade do serviço de endpoint da VPC](#xks-vpc-connectivity) Escolha a opção que atenda aos seus objetivos de performance e segurança. Antes de começar, [confirme se você precisa de um armazenamento de chaves externas](keystore-external.md#do-i-need-xks). A maioria dos clientes pode usar chaves KMS apoiadas por material de AWS KMS chaves. **Considerações** + Se seu proxy de armazenamento de chaves externas estiver incorporado ao gerenciador de chaves externas, a conectividade poderá ser predeterminada. Para obter orientações, consulte a documentação do gerenciador de chaves externas ou do proxy de armazenamento de chaves externas. + Você pode [alterar a opção de conectividade de proxy de armazenamento de chaves externas](update-xks-keystore.md) mesmo em um armazenamento de chaves externas operacional. Contudo, o processo deve ser planejado e executado com atenção para minimizar interrupções, evitar erros e garantir acesso contínuo às chaves de criptografia que criptografam seus dados. ## Conectividade de endpoints públicos AWS KMS se conecta ao proxy externo do armazenamento de chaves (proxy XKS) pela Internet usando um endpoint público. Essa opção de conectividade é mais fácil de configurar e de manter e se alinha bem com alguns modelos de gerenciamento de chaves. No entanto, pode não atender aos requisitos de segurança de algumas organizações. ![Conectividade de endpoints públicos](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/xks-public-endpoint-60.png) **Requisitos** Se você escolher a conectividade de endpoint público, será necessário realizar as ações a seguir. + Seu proxy de armazenamento de chaves externas deve estar acessível em um endpoint roteável publicamente. + Você pode usar o mesmo endpoint público para vários armazenamentos de chaves externas, desde que eles usem valores de [caminho do URI do proxy](create-xks-keystore.md#require-path) diferentes. + Você não pode usar o mesmo endpoint para um armazenamento de chaves externo com conectividade de endpoint público e qualquer armazenamento de chaves externo com conectividade de serviços de endpoint VPC no mesmo Região da AWS, mesmo que os armazenamentos de chaves estejam em locais diferentes. Contas da AWS + É necessário obter um certificado TLS emitido por uma autoridade de certificação pública com suporte para armazenamentos de chaves externas. Para obter uma lista, consulte [Trusted Certificate Authorities](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) (Autoridades de certificação confiáveis). O nome comum (CN) da entidade no certificado TLS deve corresponder ao nome do domínio no [endpoint do URI do proxy](create-xks-keystore.md#require-endpoint) do armazenamento de chaves externas. Por exemplo, se o endpoint público for `https://myproxy.xks.example.com`, o TLS, o CN no certificado TLS deverá ser `myproxy.xks.example.com` ou `*.xks.example.com`. + Certifique-se de que qualquer firewall entre AWS KMS e o proxy externo do armazenamento de chaves permita o tráfego de e para a porta 443 no proxy. AWS KMS se comunica na porta 443. IPv4 Esse valor não é configurável. Para todos os requisitos de um armazenamento de chaves externas, consulte [Organizar os pré-requisitos](create-xks-keystore.md#xks-requirements). ## Conectividade do serviço de endpoint da VPC AWS KMS se conecta ao proxy externo do armazenamento de chaves (proxy XKS) criando um endpoint de interface para um serviço de endpoint da Amazon VPC que você cria e configura. Você é responsável por [criar o serviço de endpoint da VPC](vpc-connectivity.md) e por conectar sua VPC ao gerenciador de chaves externas. Seu serviço de endpoint pode usar qualquer uma das opções de [ network-to-AmazonVPC compatíveis](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) para comunicações, inclusive. [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/) Essa opção de conectividade é mais complicada de configurar e manter. Mas ele usa AWS PrivateLink, o que permite AWS KMS conectar-se de forma privada à sua Amazon VPC e ao seu proxy externo de armazenamento de chaves sem usar a Internet pública. Você pode localizar o proxy de armazenamento de chaves externas na Amazon VPC. ![Conectividade do serviço de endpoint da VPC: proxy XKS na VPC](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/xks-proxy-in-vpc-60.png) Como alternativa, você pode localizar seu proxy externo de armazenamento de chaves fora Nuvem AWS e usar seu serviço de endpoint Amazon VPC somente para comunicação segura com. AWS KMS ![Conectividade do serviço de endpoint VPC - proxy XKS fora do AWS](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/xks-proxy-via-vpc-60.png) Você também pode conectar um armazenamento de chaves externo a um serviço de endpoint da Amazon VPC de propriedade de outra pessoa. Conta da AWS Ambos Contas da AWS precisam das [permissões necessárias](authorize-xks-key-store.md#authorize-xks-managers) para permitir a comunicação entre AWS KMS e o serviço de endpoint da VPC **Saiba mais:** + Analise o processo de criação de um armazenamento de chaves externas, incluindo a [montagem dos pré-requisitos](create-xks-keystore.md#xks-requirements). Isso ajudará a garantir que você tenha todos os componentes obrigatórios para criar seu armazenamento de chaves externas. + Saiba como [controlar o acesso ao armazenamento de chaves externas](authorize-xks-key-store.md), inclusive as permissões que os administradores e usuários do armazenamento de chaves externas exigem. + Saiba mais sobre as [ CloudWatch métricas e dimensões da Amazon](monitoring-cloudwatch.md#kms-metrics) que AWS KMS registram para lojas de chaves externas. É altamente recomendável criar alarmes para monitorar o armazenamento de chaves externas para poder detectar os primeiros sinais de problemas operacionais e de performance.