VPC Lattice용 자체 인증서 가져오기(BYOC) - 아마존 VPC 래티스
인증서의 프라이빗 키 보호

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

VPC Lattice용 자체 인증서 가져오기(BYOC)

HTTPS 요청을 처리하려면 사용자 지정 도메인 이름을 설정하기 전에 AWS Certificate Manager (ACM)에서 SSL/TLS 인증서를 준비해야 합니다. 이 인증서에는 서비스의 사용자 지정 도메인 이름과 일치하는 SAN(주체 대체 이름) 또는 CN(일반 이름)이 있어야 합니다. SAN이 있는 경우 SAN 목록에서만 일치 항목이 있는지 확인합니다. SAN이 없는 경우 CN에서 일치 항목이 있는지 확인합니다.

VPC Lattice는 SNI(서버 이름 표시)를 사용하여 HTTPS 요청을 처리합니다. DNS는 사용자 지정 도메인 이름 및 이 도메인 이름과 일치하는 인증서를 기반으로 HTTPS 요청을 VPC Lattice 서비스로 라우팅합니다. 도메인 이름에 대한 SSL/TLS 인증서를 ACM에서 요청하거나 ACM으로 가져오려면 AWS Certificate Manager 사용 설명서인증서 발급 및 관리인증서 가져오기를 참조하세요. ACM에서 자체 인증서를 요청하거나 가져올 수 없는 경우 VPC Lattice에서 생성한 도메인 이름과 인증서를 사용하세요.

VPC Lattice는 서비스당 하나의 사용자 지정 인증서만 허용합니다. 그러나 사용자 지정 인증서를 사용자 지정 도메인 여러 개에 사용할 수 있습니다. 즉, 사용자 지정 도메인 이름으로 생성한 모든 VPC Lattice 서비스에 동일한 인증서를 사용할 수 있습니다.

ACM 콘솔을 사용하여 인증서를 보려면 인증서를 열고 인증서 ID를 선택합니다. 관련 리소스에서 해당 인증서와 연결된 VPC Lattice 서비스를 확인해야 합니다.

제한 사항 및 고려 사항

  • VPC Lattice는 연결된 인증서의 SAN(주체 대체 이름) 또는 CN(일반 이름)에서 단일 수준 깊이의 와일드카드 일치를 허용합니다. 사용자 지정 도메인 이름 parking.example.com으로 서비스를 생성하고 고유 인증서를 SAN *.example.com과 연결하는 경우를 예로 들 수 있습니다. parking.example.com에 대한 요청이 들어오면 VPC Lattice는 SAN을 apex 도메인 example.com이 있는 모든 도메인 이름과 일치시킵니다. 하지만 사용자 지정 도메인 parking.different.example.com이 있고 인증서에 SAN *.example.com이 있는 경우에는 요청이 실패합니다.

  • VPC Lattice는 단일 수준의 와일드카드 도메인 일치를 지원합니다. 즉, 와일드카드는 첫 번째 수준의 하위 도메인으로만 사용할 수 있으며 하나의 하위 도메인 수준만 보호합니다. 예를 들어 인증서의 SAN이 *.example.com인 경우 parking.*.example.com은 지원되지 않습니다.

  • VPC Lattice는 도메인 이름당 하나의 와일드카드를 지원합니다. 즉, *.*.example.com은 유효하지 않습니다. 자세한 내용은 AWS Certificate Manager 사용 설명서에서 공인 인증서 요청을 참조하세요.

  • VPC Lattice는 2048비트 RSA 키가 있는 인증서만 지원합니다.

  • ACM의 SSL/TLS 인증서는 연결하려는 VPC Lattice 서비스와 동일한 리전에 있어야 합니다.

인증서의 프라이빗 키 보호

ACM을 사용하여 SSL/TLS 인증서를 요청하면 ACM은 퍼블릭/프라이빗 키 페어를 생성합니다. 인증서를 가져오면 키 페어를 생성합니다. 퍼블릭 키는 인증서의 일부가 됩니다. 프라이빗 키를 안전하게 저장하기 위해 ACM은 별칭 AWS KMS aws/acm인 KMS 키를 사용하여 또 다른 키를 생성합니다. AWS KMS 이 키를 사용하여 인증서의 개인 키를 암호화합니다. 자세한 내용은 AWS Certificate Manager 사용 설명서에서 AWS Certificate Manager의 데이터 보호를 참조하세요.

VPC Lattice는 만 액세스할 수 있는 서비스인 AWS TLS 연결 관리자를 사용하여 AWS 서비스인증서의 개인 키를 보호하고 사용합니다. ACM 인증서를 사용하여 VPC Lattice 서비스를 생성할 때 VPC Lattice는 인증서를 TLS 연결 관리자와 연결합니다. AWS 이를 위해 관리형 키에 대한 권한 부여를 생성합니다. AWS KMS AWS 이 권한을 통해 TLS 연결 관리자는 인증서의 개인 AWS KMS 키를 해독하는 데 사용할 수 있습니다. TLS 연결 관리자는 인증서와 해독된(일반 텍스트) 프라이빗 키를 사용하여 VPC Lattice 서비스의 클라이언트와 보안 연결(SSL/TLS 세션)을 설정합니다. 인증서가 통합 서비스에서 연결 해제되면 권한 부여가 사용 중지됩니다. 자세한 내용은 AWS Key Management Service 개발자 안내서권한 부여를 참조하세요.

자세한 정보는 저장 중 암호화을 참조하세요.