Conexión a la criptografía de AWS pagos a través de un punto final VPC - AWS Criptografía de pagos
Consideraciones sobre los puntos finales de la criptografía de pagos AWS VPCCrear un VPC punto final para la criptografía AWS de pagosConectarse a un punto final VPCControlar el acceso a un VPC punto finalUso de un VPC punto final en una declaración de políticaRegistrar tu punto final VPC

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conexión a la criptografía de AWS pagos a través de un punto final VPC

Puede conectarse directamente a la criptografía AWS de pagos a través de un terminal de interfaz privada en su nube privada virtual ()VPC. Cuando utiliza un VPC punto final de interfaz, la comunicación entre usted VPC y AWS Payment Cryptography se lleva a cabo íntegramente dentro de la AWS red.

AWS La criptografía de pagos es compatible con los puntos de conexión de Amazon Virtual Private Cloud (AmazonVPC) con la tecnología de. AWS PrivateLink Cada VPC punto final está representado por una o más interfaces de red elásticas (ENIs) con direcciones IP privadas en las subredes. VPC

El VPC punto final de la interfaz lo conecta VPC directamente a AWS Payment Cryptography sin necesidad de una pasarela de Internet, NAT dispositivo, VPN conexión o AWS Direct Connect conexión. Sus instancias VPC no necesitan direcciones IP públicas para comunicarse con AWS Payment Cryptography.

Regiones

AWS La criptografía de pagos es compatible con VPC los puntos finales y las políticas de puntos VPC finales en todos los casos Regiones de AWS en los que se admite la criptografía AWS de pagos.

Consideraciones sobre los puntos finales de la criptografía de pagos AWS VPC

nota

Si bien VPC los puntos finales permiten conectarse al servicio en tan solo una zona de disponibilidad (AZ), recomendamos conectarse a tres zonas de disponibilidad por motivos de alta disponibilidad y redundancia.

Antes de configurar un VPC punto final de interfaz para la criptografía de AWS pagos, consulte el tema sobre las propiedades y limitaciones del punto final de la interfaz en la Guía.AWS PrivateLink

AWS El soporte de criptografía de pagos para un VPC punto final incluye lo siguiente.

  • Puede utilizar su VPC terminal para llamar a todas las operaciones del plano de control AWS de criptografía de pagos y del plano de datos de criptografía de AWS pagos desde un. VPC

  • Puede crear un punto final de interfaz que se conecte a un VPC punto final de la región de criptografía de AWS pagos.

  • AWS La criptografía de pagos consta de un plano de control y un plano de datos. Puede elegir configurar uno o ambos subservicios, pero cada uno se configura por separado.

  • Puede utilizar AWS CloudTrail los registros para auditar el uso que hace de las claves de criptografía de AWS pagos a través del VPC terminal. Para obtener más información, consulte Registrar tu punto final VPC.

Crear un VPC punto final para la criptografía AWS de pagos

Puedes crear un VPC punto final para la criptografía de AWS pagos mediante la VPC consola de Amazon o Amazon VPCAPI. Para obtener más información, consulte Creación de un punto de conexión de interfaz en la Guía de AWS PrivateLink .

  • Para crear un VPC punto final para la criptografía de AWS pagos, utiliza los siguientes nombres de servicio: 

    com.amazonaws.region.payment-cryptography.controlplane
    com.amazonaws.region.payment-cryptography.dataplane

    Por ejemplo, en la región EE.UU. Oeste (Oregón) (us-west-2), los nombres de los servicios serían:

    com.amazonaws.us-west-2.payment-cryptography.controlplane
    com.amazonaws.us-west-2.payment-cryptography.dataplane

Para facilitar el uso del VPC punto final, puede habilitar un DNSnombre privado para el VPC punto final. Si selecciona la opción Activar DNS nombre, el nombre de DNS host estándar de criptografía de AWS pagos pasará a ser el de su VPC punto final. Por ejemplo, se https://controlplane.payment-cryptography.us-west-2.amazonaws.com resolvería en un VPC punto final conectado al nombre del servicio. com.amazonaws.us-west-2.payment-cryptography.controlplane

Esta opción facilita el uso del VPC punto final. De forma predeterminada, AWS CLI utilizan el DNS nombre de host de criptografía de AWS pagos estándar, por lo que no es necesario especificar el VPC punto final URL en las aplicaciones y comandos. AWS SDKs

Para obtener más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía de AWS PrivateLink .

Conectarse a un punto final de criptografía AWS de pagos VPC

Puede conectarse a la criptografía de AWS pagos a través del VPC punto final mediante un AWS SDK, AWS CLI o AWS Tools for PowerShell. Para especificar el VPC punto final, utilice su DNS nombre.

Por ejemplo, este comando list-keys usa el endpoint-url parámetro para especificar el VPC punto final. Para usar un comando como este, reemplaza el ID de VPC punto final del ejemplo por uno de tu cuenta.

$ aws payment-cryptography list-keys --endpoint-url https://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com

Si habilitó los nombres de host privados al crear el VPC punto final, no necesita especificar el VPC punto final URL en sus CLI comandos o en la configuración de la aplicación. El DNS nombre de host AWS de criptografía de pagos estándar corresponde a su punto final. VPC AWS CLI Y SDKs usa este nombre de host de forma predeterminada para que puedas empezar a usar el VPC terminal para conectarte a un punto final regional de criptografía de AWS pagos sin cambiar nada en tus scripts y aplicaciones.

Para usar nombres de host privados, sus enableDnsSupport atributos enableDnsHostnames y atributos VPC deben estar configurados en. true Para establecer estos atributos, utilice la ModifyVpcAttributeoperación. Para obtener más información, consulta Ver y actualizar tus DNS atributos VPC en la Guía del VPC usuario de Amazon.

Controlar el acceso a un VPC punto final

Para controlar el acceso a su VPC terminal con fines de criptografía de AWS pagos, adjunte una política de VPC punto final a su VPC punto final. La política de puntos finales determina si las entidades principales pueden utilizar el VPC punto final para realizar operaciones de criptografía de AWS pagos con recursos de criptografía de AWS pagos específicos.

Puede crear una política de VPC punto final al crear su punto final y puede cambiarla en VPC cualquier momento. Utilice la consola VPC de administración CreateVpcEndpointo las ModifyVpcEndpointoperaciones. También puede crear y cambiar una política VPC de puntos finales mediante una AWS CloudFormation plantilla. Para obtener ayuda sobre el uso de la consola de VPC administración, consulte Crear un punto final de interfaz y Modificar un punto final de interfaz en la AWS PrivateLink guía.

Acerca de las políticas VPC de puntos finales

Para que una solicitud de criptografía de AWS pagos que utilice un VPC punto final sea exitosa, el director necesita permisos de dos fuentes:

  • Una política basada en la identidad debe conceder al principal permiso para realizar la operación en el recurso (claves o alias de criptografía de AWS pagos).

  • Una política de VPC punto final debe otorgar al principal permiso para usar el punto final a fin de realizar la solicitud.

Por ejemplo, una política de claves puede conceder a un director permiso para llamar a Decrypt en una clave de criptografía AWS de pago concreta. Sin embargo, es posible que la política de VPC punto final no permita que el principal invoque Decrypt esas claves de criptografía de AWS pago mediante el punto final.

O bien, una política de VPC puntos finales podría permitir que un principal utilice el punto final para solicitar determinadas StopKeyUsageclaves de criptografía AWS de pagos. Sin embargo, si el principal no tiene esos permisos de una IAM política, la solicitud no se realizará correctamente.

Política de VPC puntos finales predeterminada

Cada VPC punto final tiene una política de VPC punto final, pero no es necesario que especifique la política. Si no especifica una política, la política de punto de conexión predeterminada permite todas las operaciones de todas las entidades principales en todos los recursos del punto de conexión.

Sin embargo, en el caso de los recursos de criptografía de AWS pagos, el principal también debe tener permiso para llamar a la operación desde una IAMpolítica. Por lo tanto, en la práctica, la política predeterminada dice que si una entidad principal tiene permiso para llamar a una operación en un recurso, también puede llamarla mediante el punto de conexión.

{
  "Statement": [
    {
      "Action": "*", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Resource": "*"
    }
  ]
}

Para permitir que las entidades principales utilicen el VPC punto de conexión únicamente para un subconjunto de sus operaciones permitidas, cree o actualice la VPC política de punto final.

Crear una política de puntos finales VPC

Una política de VPC punto final determina si un principal tiene permiso para usar el VPC punto final para realizar operaciones en un recurso. En el AWS caso de los recursos de criptografía de pagos, el principal también debe tener permiso para realizar las operaciones en virtud de una IAMpolítica.

Cada declaración VPC de política de puntos finales requiere los siguientes elementos:

  • La entidad principal que puede realizar acciones

  • Las acciones que se pueden realizar

  • Los recursos en los que se pueden llevar a cabo las acciones

La declaración de política no especifica el VPC punto final. En cambio, se aplica a cualquier VPC punto final al que esté asociada la política. Para obtener más información, consulta Cómo controlar el acceso a los servicios con VPC puntos de conexión en la Guía del VPC usuario de Amazon.

El siguiente es un ejemplo de una política de VPC puntos finales para la criptografía AWS de pagos. Cuando se conecta a un VPC punto final, esta política permite usar el VPC punto final ExampleUser para llamar a las operaciones especificadas en las claves de criptografía de AWS pago especificadas. Antes de utilizar una política como esta, sustituya el identificador principal y clave del ejemplo por valores válidos de su cuenta.

{
   "Statement":[
      {
         "Sid": "AllowDecryptAndView",
         "Principal": {"AWS": "arn:aws:iam::111122223333:user/ExampleUser"},
         "Effect":"Allow",
         "Action": [ 
             "payment-cryptography:Decrypt",
             "payment-cryptography:GetKey",  
             "payment-cryptography:ListAliases", 
             "payment-cryptography:ListKeys",
             "payment-cryptography:GetAlias"
          ],
         "Resource": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h"
      }
   ]
}

AWS CloudTrail registra todas las operaciones que utilizan el VPC punto final. Sin embargo, tus CloudTrail registros no incluyen las operaciones solicitadas por los responsables de otras cuentas ni las operaciones relacionadas con las claves de criptografía de AWS pagos de otras cuentas.

Por lo tanto, es posible que desees crear una política de VPC punto final que impida que los directores de cuentas externas utilicen el VPC punto final para AWS realizar cualquier operación de criptografía de pagos con cualquier clave de la cuenta local.

En el siguiente ejemplo, se utiliza la clave de condición aws: PrincipalAccount global para denegar el acceso a todos los principales en todas las operaciones con todas las claves de criptografía de AWS pagos, a menos que el principal esté en la cuenta local. Antes de utilizar una política como esta, sustituya el ID de la cuenta de ejemplo por uno válido.

{
  "Statement": [
    {
      "Sid": "AccessForASpecificAccount",
      "Principal": {"AWS": "*"},
      "Action": "payment-cryptography:*",
      "Effect": "Deny",
      "Resource": "arn:aws:payment-cryptography:*:111122223333:key/*",
      "Condition": {
        "StringNotEquals": {
          "aws:PrincipalAccount": "111122223333"
        }
      }
    }
  ]
}

Visualización de una política de puntos finales VPC

Para ver la política de VPC puntos finales de un punto final, utilice la consola VPC de administración o la DescribeVpcEndpointsoperación.

El siguiente AWS CLI comando obtiene la política del punto final con el ID de VPC punto final especificado.

Antes de ejecutar este comando, reemplace el ID de punto de conexión de ejemplo por uno válido de su cuenta.

$ aws ec2 describe-vpc-endpoints \
--query 'VpcEndpoints[?VpcEndpointId==`vpce-1234abcdf5678c90a`].[PolicyDocument]'
--output text

Uso de un VPC punto final en una declaración de política

Puede controlar el acceso a los recursos y las operaciones de criptografía de AWS pagos cuando la solicitud proviene de un VPC punto final VPC o lo utiliza. Para ello, utilice una política IAM

  • Utilice la clave de aws:sourceVpce condición para conceder o restringir el acceso en función del VPC punto final.

  • Utilice la clave de aws:sourceVpc condición para conceder o restringir el acceso en función del dispositivo VPC que aloja el punto final privado.

nota

La clave de aws:sourceIP condición no entra en vigor cuando la solicitud proviene de un VPCpunto de conexión de Amazon. Para restringir las solicitudes a un VPC punto final, utilice las claves de aws:sourceVpc condición aws:sourceVpce o. Para obtener más información, consulte la sección Gestión de identidad y acceso para VPC puntos finales y servicios VPC de puntos finales en la AWS PrivateLink Guía.

Puede utilizar estas claves de condición globales para controlar el acceso a las claves de criptografía de AWS pagos, a los alias y a operaciones de CreateKeyeste tipo que no dependen de ningún recurso en particular.

Por ejemplo, el siguiente ejemplo de política de claves permite al usuario realizar determinadas operaciones criptográficas con una clave de criptografía de AWS pago solo cuando la solicitud utiliza el VPC punto final especificado, lo que bloquea el acceso tanto desde Internet como desde las conexiones (si está configurado). Cuando un usuario realiza una solicitud a AWS Payment Cryptography, el ID del VPC punto final de la solicitud se compara con el valor de la clave de aws:sourceVpce condición de la política. Si no coinciden, la solicitud se deniega.

Para usar una política como esta, sustituye el Cuenta de AWS identificador del marcador de posición y el VPC punto final IDs por valores válidos para tu cuenta.

{
    "Id": "example-key-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable IAM policies",
            "Effect": "Allow",
            "Principal": {"AWS":["111122223333"]},
            "Action": ["payment-cryptography:*"],
            "Resource": "*"
        },
        {
            "Sid": "Restrict usage to my VPC endpoint",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "payment-cryptography:Encrypt",
                "payment-cryptography:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:sourceVpce": "vpce-1234abcdf5678c90a"
                }
            }
        }

    ]
}

También puedes usar la clave de aws:sourceVpc condición para restringir el acceso a tus claves de criptografía de AWS pagos en función del VPC punto final VPC en el que se encuentre.

El siguiente ejemplo de política de claves permite que los comandos administren las claves AWS de criptografía de pagos solo cuando provienen de ellas. vpc-12345678 Además, permite ejecutar comandos que utilicen las claves de criptografía de AWS pagos para operaciones criptográficas únicamente cuando procedan de. vpc-2b2b2b2b Puede usar una política como esta si una aplicación se ejecuta en unaVPC, pero puede usar una segunda, aislada VPC para las funciones de administración.

Para usar una política como esta, reemplaza el Cuenta de AWS identificador del marcador de posición y el VPC punto final IDs por valores válidos para tu cuenta.

{
    "Id": "example-key-2",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow administrative actions from vpc-12345678",
            "Effect": "Allow",
            "Principal": {"AWS": "111122223333"},
            "Action": [
                "payment-cryptography:Create*","payment-cryptography:Encrypt*","payment-cryptography:ImportKey*","payment-cryptography:GetParametersForImport*",
                "payment-cryptography:TagResource", "payment-cryptography:UntagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:sourceVpc": "vpc-12345678"
                }
            }
        },
        {
            "Sid": "Allow key usage from vpc-2b2b2b2b",
            "Effect": "Allow",
            "Principal": {"AWS": "111122223333"},
            "Action": [
                "payment-cryptography:Encrypt","payment-cryptography:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:sourceVpc": "vpc-2b2b2b2b"
                }
            }
        },
        {
            "Sid": "Allow list/read actions from everywhere",
            "Effect": "Allow",
            "Principal": {"AWS": "111122223333"},
            "Action": [
                "payment-cryptography:List*","payment-cryptography:Get*"
            ],
            "Resource": "*",
        }
    ]
}

Registrar tu punto final VPC

AWS CloudTrail registra todas las operaciones que utilizan el VPC punto final. Cuando una solicitud a AWS Payment Cryptography utiliza un VPC punto final, el ID del VPC punto final aparece en la entrada de AWS CloudTrail registro que registra la solicitud. Puede usar el ID del punto final para auditar el uso de su punto final de criptografía VPC de AWS pagos.

Para protegerloVPC, no se registran las solicitudes que una VPCpolítica de puntos finales deniega, pero que de otro modo se hubieran permitido. AWS CloudTrail

Por ejemplo, este ejemplo de entrada de registro registra una GenerateMacsolicitud que utilizó el VPC punto final. El campo vpcEndpointId aparece al final de la entrada de log.

{
      "eventVersion": "1.08",
      "userIdentity": {
          "principalId": "TESTXECZ5U9M4LGF2N6Y5:i-98761b8890c09a34a",
          "arn": "arn:aws:sts::111122223333:assumed-role/samplerole/i-98761b8890c09a34a",
          "accountId": "111122223333",
          "accessKeyId": "TESTXECZ5U2ZULLHHMJG",
          "sessionContext": {
              "sessionIssuer": {
                  "type": "Role",
                  "principalId": "TESTXECZ5U9M4LGF2N6Y5",
                  "arn": "arn:aws:iam::111122223333:role/samplerole",
                  "accountId": "111122223333",
                  "userName": "samplerole"
              },
              "webIdFederationData": {},
              "attributes": {
                  "creationDate": "2024-05-27T19:34:10Z",
                  "mfaAuthenticated": "false"
              },
              "ec2RoleDelivery": "2.0"
          }
      },
      "eventTime": "2024-05-27T19:49:54Z",
      "eventSource": "payment-cryptography.amazonaws.com",
      "eventName": "CreateKey",
      "awsRegion": "us-east-1",
      "sourceIPAddress": "172.31.85.253",
      "userAgent": "aws-cli/2.14.5 Python/3.9.16 Linux/6.1.79-99.167.amzn2023.x86_64 source/x86_64.amzn.2023 prompt/off command/payment-cryptography.create-key",
      "requestParameters": {
          "keyAttributes": {
              "keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
              "keyClass": "SYMMETRIC_KEY",
              "keyAlgorithm": "TDES_2KEY",
              "keyModesOfUse": {
                  "encrypt": false,
                  "decrypt": false,
                  "wrap": false,
                  "unwrap": false,
                  "generate": true,
                  "sign": false,
                  "verify": true,
                  "deriveKey": false,
                  "noRestrictions": false
              }
          },
          "exportable": true
      },
      "responseElements": {
          "key": {
              "keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
              "keyAttributes": {
                  "keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
                  "keyClass": "SYMMETRIC_KEY",
                  "keyAlgorithm": "TDES_2KEY",
                  "keyModesOfUse": {
                      "encrypt": false,
                      "decrypt": false,
                      "wrap": false,
                      "unwrap": false,
                      "generate": true,
                      "sign": false,
                      "verify": true,
                      "deriveKey": false,
                      "noRestrictions": false
                  }
              },
              "keyCheckValue": "A486ED",
              "keyCheckValueAlgorithm": "ANSI_X9_24",
              "enabled": true,
              "exportable": true,
              "keyState": "CREATE_COMPLETE",
              "keyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
              "createTimestamp": "May 27, 2024, 7:49:54 PM",
              "usageStartTimestamp": "May 27, 2024, 7:49:54 PM"
          }
      },
      "requestID": "f3020b3c-4e86-47f5-808f-14c7a4a99161",
      "eventID": "b87c3d30-f3ab-4131-87e8-bc54cfef9d29",
      "readOnly": false,
      "eventType": "AwsApiCall",
      "managementEvent": true,
      "recipientAccountId": "111122223333",
      "vpcEndpointId": "vpce-1234abcdf5678c90a",
      "eventCategory": "Management",
      "tlsDetails": {
          "tlsVersion": "TLSv1.3",
          "cipherSuite": "TLS_AES_128_GCM_SHA256",
          "clientProvidedHostHeader": "vpce-1234abcdf5678c90a-oo28vrvr.controlplane.payment-cryptography.us-east-1.vpce.amazonaws.com"
      }
  }