连接到 Amazon KMS VPC 端点 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

连接到 Amazon KMS VPC 端点

您可以使用 Amazon SDK、Amazon CLI 或 Amazon Tools for PowerShell 通过 VPC 端点连接到 Amazon KMS。要指定 VPC 终端节点,请使用其 DNS 名称。

例如,此 list-keys 命令使用 endpoint-url 参数指定 VPC 终端节点。要使用类似命令,请将示例中的 VPC 终端节点 ID 替换为您账户中的 ID。

$ aws kms list-keys --endpoint-url https://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com
所需的权限

对于使用 VPC 终端节点才能成功的 Amazon KMS 请求,委托人需要来自以下两个来源的权限:

  • 密钥策略IAM policy 或者授权必须授予委托人对资源(KMS 密钥或别名)调用操作的权限。

  • VPC 终端节点策略必须授予委托人使用终端节点发出请求的权限。

例如,密钥策略可能授予委托人对特定 KMS 密钥调用 Decrypt 的权限。但是,VPC 终端节点策略可能不允许该委托人通过使用终端节点对该 KMS 密钥调用 Decrypt

或者 VPC 终端节点策略可能允许委托人使用终端节点对特定 KMS 密钥调用 DisableKey。但是,如果委托人没有来自密钥策略、IAM policy 或授权的权限,请求将失败。

您可以在创建终端节点时创建 VPC 终端节点策略,并且可以随时更改 VPC 终端节点策略。使用 VPC 管理控制台,或者 CreateVpcEndpointModifyVpcEndpoint 操作。您还可以通过使用 Amazon CloudFormation 模板创建和更改 VPC 终端节点策略。有关使用 VPC 管理控制台的帮助,请参阅 Amazon PrivateLink 指南中的创建接口终端节点修改接口终端节点

私有主机名

如果在创建 VPC 终端节点时启用了私有主机名,则无需在 CLI 命令或应用程序配置中指定 VPC 终端节点 URL。标准 Amazon KMS DNS 主机名将解析为您的 VPC 端点。默认情况下,Amazon CLI 和开发工具包使用此主机名,因此您可以立即开始使用 VPC 端点连接到 Amazon KMS 区域端点,而无需在您的脚本和应用程序中更改任何内容。

要使用私有主机名,您的 VPC 的 enableDnsHostnamesenableDnsSupport 属性必须设置为 true。要设置这些属性,请使用 ModifyVpcAttribute 操作。有关详细信息,请参阅《Amazon VPC 用户指南》中的查看和更新 VPC 的 DNS 属性