용 커넥터 설정 SCEP - AWS Private Certificate Authority
1단계: AWS Identity and Access Management 정책 생성2단계: 프라이빗 CA 생성3단계: 리소스 공유 생성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

용 커넥터 설정 SCEP

이 섹션의 절차는 용 커넥터를 시작하는 데 도움이 됩니다SCEP. 이미 AWS 계정을 생성했다고 가정합니다. 이 페이지의 단계를 완료한 후 용 커넥터 생성을 진행할 수 있습니다SCEP.

1단계: AWS Identity and Access Management 정책 생성

용 커넥터를 생성하려면 커넥터에 필요한 리소스를 생성 및 관리하고 사용자를 대신하여 인증서를 발급할 수 있는 SCEP 기능을 커넥터에 부여하는 IAM 정책을 생성SCEP해야 합니다. 자세한 내용은 IAM 사용 설명서란 무엇입니까IAM?를 IAM 참조하세요.

다음 예제는 용 커넥터에 사용할 수 있는 고객 관리형 정책입니다SCEP.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "pca-connector-scep:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "acm-pca:DescribeCertificateAuthority",
                "acm-pca:GetCertificate",
                "acm-pca:GetCertificateAuthorityCertificate",
                "acm-pca:ListCertificateAuthorities",
                "acm-pca:ListTags",
                "acm-pca:PutPolicy"                
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "acm-pca:IssueCertificate",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V*"
                },
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "pca-connector-scep.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:CreateResourceShare",
                "ram:GetResourcePolicies",
                "ram:GetResourceShareAssociations",
                "ram:GetResourceShares",
                "ram:ListPrincipals",
                "ram:ListResources",
                "ram:ListResourceSharePermissions",
                "ram:ListResourceTypes"
            ],
            "Resource": "*"
        }
    ]
}

2단계: 프라이빗 CA 생성

에 커넥터를 사용하려면 의 프라이빗 CA를 커넥터 AWS Private Certificate Authority 에 연결SCEP해야 합니다. SCEP 프로토콜에 존재하는 고유한 보안 취약성으로 인해 커넥터에만 해당하는 프라이빗 CA를 사용하는 것이 좋습니다.

프라이빗 CA는 다음 요구 사항을 충족해야 합니다.

  • 활성 상태여야 하며 범용 작동 모드를 사용해야 합니다.

  • 프라이빗 CA를 소유해야 합니다. 계정 간 공유를 통해 공유된 프라이빗 CA는 사용할 수 없습니다.

용 커넥터와 함께 사용하도록 프라이빗 CA를 구성할 때 다음 고려 사항에 유의하세요SCEP.

  • DNS 이름 제약 조건 - SCEP 디바이스에 대해 발급된 인증서에서 허용되거나 금지되는 도메인을 제어하는 방법으로 DNS 이름 제약 조건을 사용하는 것이 좋습니다. 자세한 내용은 에서 DNS 이름 제약 조건을 적용하는 방법을 AWS Private Certificate Authority 참조하세요.

  • 취소 - 프라이빗 CACRLs에서 OCSP 또는 를 활성화하여 취소를 허용합니다. 자세한 내용은 AWS Private CA 인증서 취소 방법 계획 단원을 참조하십시오.

  • PII – CA 인증서에 개인 식별 정보(PII) 또는 기타 기밀 또는 민감한 정보를 추가하지 않는 것이 좋습니다. 보안 악용이 발생하는 경우 민감한 정보의 노출을 제한하는 데 도움이 됩니다.

  • 루트 인증서는 신뢰 스토어에 저장 - 루트 CA 인증서는 의 인증서와 반환 값을 확인할 수 있도록 디바이스 신뢰 스토어에 저장합니다GetCertificateAuthorityCertificate. 와 관련된 신뢰 스토어에 대한 자세한 내용은 섹션을 AWS Private CA참조하세요루트 CA .

프라이빗 CA를 생성하는 방법에 대한 자세한 내용은 섹션을 참조하세요에서 프라이빗 CA 생성 AWS Private CA.

3단계: 를 사용하여 리소스 공유 생성 AWS Resource Access Manager

AWS Command Line Interface AWS SDK, 또는 용 커넥터를 사용하여 SCEP 프로그래밍 방식으로 커넥터 를 사용하는 경우 AWS Resource Access Manager 서비스 보안 주체 공유SCEP를 사용하여 용 커넥터와 프라이빗 CA를 공유SCEPAPI해야 합니다. 이렇게 하면 프라이빗 CA에 대한 SCEP 공유 액세스를 위한 Connector가 제공됩니다. AWS 콘솔에서 커넥터를 생성하면 리소스 공유가 자동으로 생성됩니다. 리소스 공유에 대한 자세한 내용은 AWS RAM 사용 설명서리소스 공유 생성을 참조하세요.

를 사용하여 리소스 공유를 생성하려면 명령을 사용할 AWS CLI AWS RAM create-resource-share 수 있습니다. 다음 명령은 리소스 공유를 생성합니다. 공유하려는 프라이빗 CAARN의 값을 로 지정합니다.resource-arns.

$  aws ram create-resource-share \
--region us-east-1 \
--name MyPcaConnectorScepResourceShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority \
--resource-arns arn:aws:acm-pca:Region:account:certificate-authority/CA_ID \
--principals pca-connector-scep.amazonaws.com \
--sources account

호출하는 서비스 보안 주체CreateConnector는 프라이빗 CA에 대한 인증서 발급 권한이 있습니다. 용 커넥터를 사용하는 서비스 보안 주체가 AWS Private CA 리소스에 대한 일반적인 액세스 SCEP 권한을 갖지 못하도록 하려면 를 사용하여 권한을 제한합니다CalledVia.