AWS Private CA VPCEndpunkte ()AWS PrivateLink - AWS Private Certificate Authority
Überlegungen zu Endpunkten AWS Private CA VPCErstellung der VPC Endpunkte für AWS Private CAErstellen Sie eine VPC Endpunktrichtlinie für AWS Private CA

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Private CA VPCEndpunkte ()AWS PrivateLink

Sie können eine private Verbindung zwischen Ihrem VPC und herstellen, AWS Private CA indem Sie einen VPC Schnittstellenendpunkt konfigurieren. Schnittstellenendpunkte werden von AWS PrivateLinkeiner Technologie für den privaten Zugriff auf AWS Private CA API Operationen unterstützt. AWS PrivateLink leitet den gesamten Netzwerkverkehr zwischen Ihnen VPC und AWS Private CA über das Amazon-Netzwerk weiter und verhindert so, dass er im offenen Internet offengelegt wird. Jeder VPC Endpunkt wird durch eine oder mehrere elastische Netzwerkschnittstellen mit privaten IP-Adressen in Ihren VPC Subnetzen repräsentiert.

Der VPC Schnittstellenendpunkt stellt eine VPC direkte Verbindung zu Ihnen her, AWS Private CA ohne dass ein Internet-Gateway, ein NAT Gerät, eine VPN Verbindung oder eine AWS Direct Connect Verbindung erforderlich ist. Die Instanzen in Ihrem VPC System benötigen keine öffentlichen IP-Adressen, um mit dem zu kommunizieren AWS Private CA API.

Um Ihre nutzen AWS Private CA zu könnenVPC, müssen Sie von einer Instanz aus eine Verbindung herstellen, die sich innerhalb von befindetVPC. Alternativ können Sie Ihr privates Netzwerk mit Ihrem verbinden, VPC indem Sie ein AWS Virtual Private Network (AWS VPN) oder verwenden AWS Direct Connect. Weitere Informationen dazu AWS VPN finden Sie unter VPNConnections im VPCAmazon-Benutzerhandbuch. Weitere Informationen AWS Direct Connect dazu finden Sie unter Verbindung herstellen im AWS Direct Connect Benutzerhandbuch.

AWS Private CA erfordert nicht die Verwendung von AWS PrivateLink, wir empfehlen es jedoch als zusätzliche Sicherheitsebene. Weitere Informationen zu AWS PrivateLink VPC Endpunkten finden Sie unter Zugreifen auf Dienste über AWS PrivateLink.

Überlegungen zu Endpunkten AWS Private CA VPC

Bevor Sie VPC Schnittstellen-Endpunkte für einrichten AWS Private CA, sollten Sie die folgenden Überlegungen beachten:

  • AWS Private CA unterstützt in einigen Availability Zones möglicherweise keine VPC Endpunkte. Wenn Sie einen VPC Endpunkt erstellen, überprüfen Sie zunächst die Unterstützung in der Managementkonsole. Nicht unterstützte Availability Zones sind mit „Service not supported in this Availability Zone“ gekennzeichnet.

  • VPCEndpunkte unterstützen keine regionsübergreifenden Anfragen. Stellen Sie sicher, dass Sie Ihren Endpunkt in derselben Region einrichten, in die Sie Ihre API Anrufe tätigen möchten. AWS Private CA

  • VPCEndgeräte unterstützen nur Amazon, DNS das über Amazon Route 53 bereitgestellt wird. Wenn Sie Ihre eigene verwenden möchtenDNS, können Sie die bedingte DNS Weiterleitung verwenden. Weitere Informationen finden Sie unter DHCPOptionssätze im VPCAmazon-Benutzerhandbuch.

  • Die dem VPC Endpunkt zugeordnete Sicherheitsgruppe muss eingehende Verbindungen über Port 443 aus dem privaten Subnetz von zulassen. VPC

  • AWS Certificate Manager unterstützt keine VPC Endpunkte.

  • FIPSEndpunkte (und ihre Regionen) unterstützen VPC keine Endpunkte.

AWS Private CA APIunterstützt derzeit VPC Endpunkte in den folgenden Bereichen: AWS-Regionen

  • US East (Ohio)

  • USA Ost (Nord-Virginia)

  • USA West (Nordkalifornien)

  • USA West (Oregon)

  • Africa (Cape Town)

  • Asien-Pazifik (Hongkong)

  • Asien-Pazifik (Hyderabad)

  • Asien-Pazifik (Jakarta)

  • Asien-Pazifik (Melbourne)

  • Asien-Pazifik (Mumbai)

  • Asia Pacific (Osaka)

  • Asia Pacific (Seoul)

  • Asien-Pazifik (Singapur)

  • Asien-Pazifik (Sydney)

  • Asien-Pazifik (Tokio)

  • Canada (Central)

  • Kanada West (Calgary)

  • Europe (Frankfurt)

  • Europa (Irland)

  • Europa (London)

  • Europa (Milan)

  • Europa (Paris)

  • Europa (Spain)

  • Europa (Stockholm)

  • Europa (Zürich)

  • Israel (Tel Aviv)

  • Naher Osten (Bahrain)

  • Naher Osten () UAE

  • Südamerika (São Paulo)

Erstellung der VPC Endpunkte für AWS Private CA

Sie können einen VPC Endpunkt für den AWS Private CA Dienst entweder mit der VPC Konsole unter https://console.aws.amazon.com/vpc/oder mit dem AWS Command Line Interface erstellen. Weitere Informationen finden Sie unter dem Verfahren Creating an Interface Endpoint im VPCAmazon-Benutzerhandbuch. AWS Private CA unterstützt das Ausführen von Aufrufen all seiner API Operationen in IhremVPC.

Wenn Sie private DNS Hostnamen für den Endpunkt aktiviert haben, wird der AWS Private CA Standardendpunkt jetzt zu Ihrem VPC Endpunkt aufgelöst. Eine umfassende Liste der Standard-Serviceendpunkte finden Sie unter Service-Endpunkte und Kontingente.

Wenn Sie keine privaten DNS Hostnamen aktiviert haben, VPC stellt Amazon einen DNS Endpunktnamen bereit, den Sie im folgenden Format verwenden können:

vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
Anmerkung

Der -Wert region steht für die Regionskennung für eine AWS Region AWS Private CA, die von unterstützt wird, z. B. us-east-2 für die Region USA Ost (Ohio). Eine Liste von AWS Private CA finden Sie unter AWS Certificate Manager Private Certificate Authority Endpoints and Quotas.

Weitere Informationen finden Sie unter AWS Private CA VPCEndpoints (AWS PrivateLink) im VPCAmazon-Benutzerhandbuch.

Sie können eine Richtlinie für VPC Amazon-Endgeräte erstellen AWS Private CA , um Folgendes anzugeben:

  • Der Prinzipal, der die Aktionen ausführen kann

  • Aktionen, die ausgeführt werden können

  • Ressourcen, für die Aktionen ausgeführt werden können

Weitere Informationen finden Sie unter Controlling Access to Services with VPC Endpoints im VPCAmazon-Benutzerhandbuch.

Beispiel — VPC Endpunktrichtlinie für Aktionen AWS Private CA

Wenn sie an einen Endpunkt angehängt ist, gewährt die folgende Richtlinie allen Prinzipalen Zugriff auf die AWS Private CA Aktionen IssueCertificateDescribeCertificateAuthority,GetCertificate,, GetCertificateAuthorityCertificateListPermissions, undListTags. Die Ressource in jedem Abschnitt ist eine private Zertifizierungsstelle. Im ersten Abschnitt wird die Erstellung von Endentitätszertifikaten unter Verwendung der angegebenen privaten Zertifizierungsstelle und Zertifikatvorlage autorisiert. Wenn Sie die verwendete Vorlage nicht kontrollieren möchten, wird der Abschnitt Condition nicht benötigt. Wenn Sie diesen jedoch entfernen, können alle Prinzipale CA-Zertifikate sowie Endentitätszertifikate erstellen.

{
      "Statement":[
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:IssueCertificate"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ],
            "Condition":{
               "StringEquals":{
                  "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
               }
            }
         },
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:DescribeCertificateAuthority",
               "acm-pca:GetCertificate",
               "acm-pca:GetCertificateAuthorityCertificate",
               "acm-pca:ListPermissions",
               "acm-pca:ListTags"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ]
         }
      ]
   }