Konnektor für SCEP-VPC-Endpunkte ()AWS PrivateLink - AWS Private Certificate Authority
Überlegungen zu Connector für SCEP-VPC-EndpunkteVPC-Endpunkt für Connector for SCEP erstellenErstellen Sie eine VPC-Endpunktrichtlinie für Connector for SCEPErstellen eines VPC-Endpunkts für Connector für SCEP-Registrierungsvorgänge

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konnektor für SCEP-VPC-Endpunkte ()AWS PrivateLink

Sie können eine private Verbindung zwischen Ihrer VPC und Connector for SCEP herstellen, indem Sie einen VPC-Schnittstellen-Endpunkt konfigurieren. Schnittstellenendpunkte werden von AWS PrivateLinkeiner Technologie für den privaten Zugriff auf Connector für SCEP-API-Operationen unterstützt. AWS PrivateLink leitet den gesamten Netzwerkverkehr zwischen Ihrer VPC und Connector for SCEP über das Amazon-Netzwerk weiter und verhindert so, dass er im offenen Internet offengelegt wird. Jeder VPC-Endpunkt wird durch eine oder mehrere Elastic Network-Schnittstellen mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert.

Der VPC-Schnittstellen-Endpunkt verbindet Ihre VPC ohne Internet-Gateway, NAT-Gerät, VPN-Verbindung oder Verbindung direkt mit Connector for SCEP. Direct Connect Die Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit der Connector for SCEP-API zu kommunizieren.

Um Connector for SCEP über Ihre VPC zu verwenden, müssen Sie von einer Instance aus eine Verbindung herstellen, die sich innerhalb der VPC befindet. Alternativ können Sie Ihr privates Netzwerk mit Ihrer VPC verbinden, indem Sie ein AWS Virtual Private Network (Site-to-Site VPN) oder Direct Connect verwenden. Weitere Informationen dazu Site-to-Site VPN finden Sie unter VPN-Verbindungen im Amazon VPC-Benutzerhandbuch. Informationen zu Direct Connect finden Sie unter Erstellen einer Verbindung im Direct Connect -Benutzerhandbuch.

Connector for SCEP erfordert nicht die Verwendung von AWS PrivateLink, wir empfehlen es jedoch als zusätzliche Sicherheitsebene. Weitere Informationen zu AWS PrivateLink VPC-Endpunkten finden Sie unter Zugreifen auf Dienste über. AWS PrivateLink

Überlegungen zu Connector für SCEP-VPC-Endpunkte

Bevor Sie VPC-Schnittstellen-Endpunkte für Connector for SCEP einrichten, sollten Sie die folgenden Überlegungen beachten:

  • Connector für SCEP unterstützt in einigen Availability Zones möglicherweise keine VPC-Endpunkte. Wenn Sie einen VPC-Endpunkt erstellen, überprüfen Sie zunächst die Unterstützung in der Managementkonsole. Nicht unterstützte Availability Zones sind mit „Service not supported in this Availability Zone“ gekennzeichnet.

  • VPC-Endpunkte unterstützen keine regionsübergreifenden Anforderungen. Stellen Sie sicher, dass Sie Ihren Endpunkt in derselben Region erstellen, in der Sie Ihren Connector erstellen.

  • VPC-Endpunkte unterstützen nur von Amazon bereitgestelltes DNS über Amazon Route 53. Wenn Sie Ihre eigene DNS verwenden möchten, können Sie die bedingte DNS-Weiterleitung nutzen. Weitere Informationen finden Sie unter DHCP Options Sets im Amazon VPC-Benutzerhandbuch.

  • Die Sicherheitsgruppe für den VPC-Endpunkt müssen eingehende Verbindungen auf Port 443 aus dem privaten Subnetz der VPC zulassen.

VPC-Endpunkt für Connector for SCEP erstellen

Sie können einen VPC-Endpunkt für den Connector for SCEP-Dienst entweder mit der VPC-Konsole unter https://console.aws.amazon.com/vpc/oder mit dem erstellen. AWS Command Line Interface Weitere Informationen finden Sie im Verfahren Creating an Interface Endpoint im Amazon VPC-Benutzerhandbuch. Connector for SCEP unterstützt Aufrufe aller API-Operationen in Ihrer VPC.

Geben Sie com.amazonaws.region.pca-connector-scep bei der Erstellung des Endpunkts den Dienstnamen an.

Wenn Sie private DNS-Hostnamen für den Endpunkt aktiviert haben, wird der Standard-Connector für SCEP-Endpunkt jetzt zu Ihrem VPC-Endpunkt aufgelöst. Eine umfassende Liste der Standard-Serviceendpunkte finden Sie unter Service-Endpunkte und Kontingente.

Wenn Sie keine privaten DNS-Hostnamen aktiviert haben, stellt Amazon VPC einen DNS-Endpunktnamen bereit, den Sie im folgenden Format verwenden können:

vpc-endpoint-id.pca-connector-scep.region.vpce.amazonaws.com

Weitere Informationen finden Sie unter VPC-Endpunkte (AWS PrivateLink) im Amazon VPC-Benutzerhandbuch.

Erstellen Sie eine VPC-Endpunktrichtlinie für Connector for SCEP

Sie können eine Richtlinie für Amazon VPC-Endpunkte für Connector for SCEP erstellen, um Folgendes anzugeben:

  • Der Prinzipal, der die Aktionen ausführen kann

  • Aktionen, die ausgeführt werden können

  • Ressourcen, für die Aktionen ausgeführt werden können

Weitere Informationen finden Sie unter Controlling Access to Services with VPC Endpoints im Amazon VPC-Leitfaden.

Beispiel — VPC-Endpunktrichtlinie für Connector für SCEP-Aktionen

Wenn die folgende Richtlinie an einen Endpunkt angehängt ist, gewährt sie allen Prinzipalen Zugriff auf die aufgelisteten Connector-für-SCEP-Aktionen auf der angegebenen Connector-Ressource.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "pca-connector-scep:GetConnector",
            "pca-connector-scep:ListConnectors"
         ],
         "Resource": "arn:aws:pca-connector-scep:region:account:connector/connector-id"
      }
   ]
}

Erstellen eines VPC-Endpunkts für Connector für SCEP-Registrierungsvorgänge

Connector for SCEP bietet einen separaten VPC-Endpunktdienst für Registrierungsvorgänge wie und. GetCACaps PKIOperation

Geben Sie bei der Erstellung des Registrierungsendpunkts den Dienstnamen an. com.amazonaws.region.pca-connector-scep.enroll

Beim Erstellen eines Connectors können Sie optional a angeben, um den Connector so VpcEndpointId zu beschränken, dass er nur über diesen bestimmten VPC-Endpunkt zugänglich ist.

Wenn Sie keine privaten DNS-Hostnamen aktiviert haben, stellt Amazon VPC einen DNS-Endpunktnamen bereit, den Sie im folgenden Format verwenden können:

vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com
Anmerkung

Um Ihren Connector zu erreichen, müssen Sie die in den Connector-Details enthaltene Endpunkt-URL verwenden, nicht direkt den DNS-Namen des VPC-Endpunkts. Sie können jedoch den DNS-Namensteil der Connector-Endpunkt-URL durch einen beliebigen gültigen VPC-Endpunkt-DNS-Namen ersetzen, z. B. einen AZ-spezifischen DNS-Namen.

Um beispielsweise einen AZ-spezifischen DNS-Namen zu verwenden, können Sie Folgendes ersetzen 

https://vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID

mit 

https://vpc-endpoint-id-availability-zone.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
Beispiel — VPC-Endpunktrichtlinie für Connector für SCEP-Registrierungsvorgänge

Sie können eine VPC-Endpunktrichtlinie anhängen, um den Zugriff auf Registrierungsvorgänge zu steuern. Wenn sie an einen Endpunkt angehängt ist, gewährt die folgende Richtlinie allen Prinzipalen Zugriff auf die AND-Operationen. GetCACaps PKIOperation Die Ressource in der Strophe ist ein Konnektor.

Der Connector für SCEP-Registrierungsvorgänge ist nicht mit Sigv4 authentifiziert. Aus diesem Grund sind sie keinem IAM-Prinzipal zugeordnet und werden stattdessen von VPC-Endpunktrichtlinien als anonym betrachtet. Daher muss Ihre VPC-Endpunktrichtlinie alle Prinzipale für diese Aktionen zulassen.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "pca-connector-scep:GetCACaps",
            "pca-connector-scep:GetCACert",
            "pca-connector-scep:PKIOperation"
         ],
         "Resource": [
            arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566
         ]
      }
   ]
}