本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 選擇外部金鑰存放區代理連線選項
<a name="choose-xks-connectivity"></a>

在建立外部金鑰存放區之前，請選擇連線選項，以決定 如何與外部金鑰存放區元件 AWS KMS 通訊。您選擇的連接選項會決定規劃程序的剩餘部分。

如果您要建立外部金鑰存放區，您需要判斷 如何與[外部金鑰存放區代理](keystore-external.md#concept-xks-proxy) AWS KMS 通訊。此選項將決定您需要哪些元件，以及如何設定這些元件。 AWS KMS 支援下列連線選項。
+ [公有端點連接](#xks-connectivity-public-endpoint)
+ [VPC 端點服務連接](#xks-vpc-connectivity)

選擇可滿足您的效能和安全目標的選項。

開始之前，[請確認您需要外部金鑰存放區](keystore-external.md#do-i-need-xks)。大多數客戶都可以使用金鑰材料支援的 KMS AWS KMS 金鑰。

**考量事項**
+ 如果您的外部金鑰存放區代理內建於外部金鑰管理器中，則可能已預先決定您的連接。如需相關指導，請參閱外部金鑰管理器或外部金鑰存放區代理的文件。
+ 即使在正操作的外部金鑰存放區中，您也可以[變更外部金鑰存放區代理連接選項](update-xks-keystore.md)。但是，必須仔細規劃和執行此程序，以最大限度地減少中斷、避免錯誤並確保持續存取對您的資料進行加密的密碼編譯金鑰。

## 公有端點連接
<a name="xks-connectivity-public-endpoint"></a>

AWS KMS 使用公有端點透過網際網路連線至外部金鑰存放區代理 (XKS 代理）。

此連接選項更易於設定和維護，並且可與某些金鑰管理模式完美配合。但是，其可能無法滿足某些組織的安全要求。

![公有端點連接](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/xks-public-endpoint-60.png)


**需求**

如果您選擇公有端點連接，則需要下列項目。
+ 您的外部金鑰存放區代理在公開可路由端點必須可存取。
+ 您可對多個外部金鑰存放區使用相同的公有端點，前提是它們使用不同的[代理 URI 路徑](create-xks-keystore.md#require-path)值。
+ 您無法將相同的端點用於具有公有端點連線的外部金鑰存放區，以及任何具有 VPC 端點服務連線的外部金鑰存放區 AWS 區域，即使金鑰存放區位於不同的 AWS 帳戶。
+ 您必須取得由外部金鑰存放區支援的公有憑證授權機構核發的 TLS 憑證。如需清單，請參閱[受信任的憑證授權機構](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities)。

  TLS 憑證上的主體通用名稱 (CN) 必須與外部金鑰存放區代理之[代理 URI 端點](create-xks-keystore.md#require-endpoint)中的網域名稱相符。例如，如果公有端點為 `https://myproxy.xks.example.com`，則 TLS 憑證上的通用名稱必須為 `myproxy.xks.example.com` 或 `*.xks.example.com`。
+ 確保 AWS KMS 和外部金鑰存放區代理之間的任何防火牆允許進出 Proxy 上連接埠 443 的流量。透過 IPv4 在連接埠 443 上 AWS KMS 通訊。此值不可設定。

如需外部金鑰存放區的所有要求，請參閱[備妥先決條件](create-xks-keystore.md#xks-requirements)。

## VPC 端點服務連接
<a name="xks-vpc-connectivity"></a>

AWS KMS 透過建立介面端點到您建立和設定的 Amazon VPC 端點服務，連接到外部金鑰存放區代理 (XKS 代理）。您必須負責[建立 VPC 端點服務](vpc-connectivity.md)，並將 VPC 連接至外部金鑰管理器。

您的端點服務可以使用任何[支援的網路到 Amazon VPC 選項](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html)進行通訊，包括 [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/)。

此連接選項的設定和維護更為複雜。但它使用 AWS PrivateLink，可讓 AWS KMS 私下連線至您的 Amazon VPC 和外部金鑰存放區代理，而無需使用公有網際網路。

您可以在 Amazon VPC 中找到外部金鑰存放區代理。

![VPC 端點服務連接 - VPC 中的 XKS 代理](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/xks-proxy-in-vpc-60.png)


或者，您可以在 外部找到外部金鑰存放區代理 AWS 雲端 ，並僅將 Amazon VPC 端點服務用於與 進行安全通訊 AWS KMS。

![VPC 端點服務連線 - 外部的 XKS 代理 AWS](http://docs.aws.amazon.com/zh_tw/kms/latest/developerguide/images/xks-proxy-via-vpc-60.png)


您也可以將外部金鑰存放區連接到另一個 擁有的 Amazon VPC 端點服務 AWS 帳戶。兩者 AWS 帳戶 都需要[必要的許可](authorize-xks-key-store.md#authorize-xks-managers)，才能允許 AWS KMS 和 VPC 端點服務之間的通訊 

**進一步了解**：
+ 檢閱建立外部金鑰存放區的程序，包括[備妥先決條件](create-xks-keystore.md#xks-requirements)。它將幫助您確保在建立外部金鑰存放區時具有所需的所有元件。
+ 了解如何[控制對外部金鑰存放區的存取](authorize-xks-key-store.md)，包括外部金鑰存放區管理員和使用者所需的許可。
+ 了解為外部金鑰存放區 AWS KMS 記錄的 [Amazon CloudWatch 指標和維度](monitoring-cloudwatch.md#kms-metrics)。強烈建議您建立警示來監控外部金鑰存放區，以便可偵測到效能和操作問題的早期跡象。