发布于: Jan 22, 2018
从今天起,AWS Key Management Service (KMS) 开始支持 AWS PrivateLink,从而可以在您的 Amazon Virtual Private Cloud (VPC) 内使用 KMS API,使 VPC 与 KMS 之间的数据路由完全位于 AWS 网络内。
使用 AWS PrivateLink,可以预留和使用 VPC 终端节点来访问所支持的在 AWS 云上托管的服务。利用 AWS PrivateLink,您可以通过高可用率、高扩展性的方式访问 AWS 服务,同时让所有网络流量都位于 AWS 网络内。
可以使用 Amazon VPC 控制台、AWS CLI 或 AWS SDK 为 KMS 创建 VPC 终端节点。创建终端节点后,可以使用 AWS CLI 或 AWS SDK,通过终端节点向 KMS 提交请求。此外,还可以设置 KMS 以及 AWS Identity and Access Management (IAM) 政策,规定 KMS 请求必须来自使用 KMS VPC 终端节点的具体 VPC。使用 VPC 终端节点向 KMS 发出请求时,终端节点 ID 也应出现在 AWS CloudTrail 日志中对应的 KMS 条目内,从而便于对 VPC 终端节点的使用情况进行审计。
所有 AWS KMS 和 AWS PrivateLink 同时可用的 AWS 区域均支持 AWS PrivateLink。
如需了解更多关于 AWS KMS 支持 AWS PrivateLink 的信息,请参阅如何使用 AWS PrivateLink 终端节点从 Amazon VPC 直接连接到 AWS Key Management Service。