AWS 私有 CA VPC 端點 (AWS PrivateLink) - AWS Private Certificate Authority
AWS 私有 CA VPC 端點的考量事項建立 的 VPC 端點 AWS 私有 CA建立 AWS 私有 CA的 VPC 端點政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 私有 CA VPC 端點 (AWS PrivateLink)

您可以設定界面 VPC 端點, AWS 私有 CA 在 VPC 和 之間建立私有連線。介面端點採用 AWS PrivateLink技術,可私下存取 AWS 私有 CA API 操作。 會透過 Amazon 網路 AWS PrivateLink 路由 VPC 與 AWS 私有 CA 之間的所有網路流量,避免公開網際網路。每個 VPC 端點皆會由一個或多個具私有 IP 地址彈性網路界面來表示,而該界面位於 VPC 子網路中。

介面 VPC 端點會直接將您的 VPC 連接到 , AWS 私有 CA 無需網際網路閘道、NAT 裝置、VPN 連接或 AWS Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址即可與 AWS 私有 CA API 通訊。

若要 AWS 私有 CA 透過 VPC 使用 ,您必須從 VPC 內的執行個體連線。或者,您可以使用 AWS Virtual Private Network (AWS VPN) 或 將私有網路連接到 VPC AWS Direct Connect。如需 的詳細資訊 AWS VPN,請參閱《Amazon VPC 使用者指南》中的 VPN 連線。如需 的詳細資訊 AWS Direct Connect,請參閱AWS Direct Connect 《 使用者指南》中的建立連線

AWS 私有 CA 不需要使用 AWS PrivateLink,但我們建議將其作為額外的安全層。如需 AWS PrivateLink 和 VPC 端點的詳細資訊,請參閱透過 存取服務 AWS PrivateLink

AWS 私有 CA VPC 端點的考量事項

設定介面 VPC 端點之前 AWS 私有 CA,請注意下列考量:

  • AWS 私有 CA 在某些可用區域中可能不支援 VPC 端點。當您建立 VPC 端點時,請先檢查 管理主控台中的支援。不支援的可用區域會標記為「此可用區域不支援 服務」。

  • VPC 端點不支援跨區域請求。請確實在計劃發出 AWS 私有 CA API 呼叫的相同區域中建立端點。

  • VPC 端點僅支援 Amazon 透過 Amazon Route 53 提供的 DNS。如果您想要使用自己的 DNS,您可以使用條件式 DNS 轉送。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的 DHCP 選項集

  • 連接到 VPC 端點的安全群組,必須允許從 VPC 的私有子網路,透過 443 埠傳入的連線。

  • AWS Certificate Manager 不支援 VPC 端點。

AWS 私有 CA API 目前支援下列 中的 VPC 端點 AWS 區域:

  • 美國東部 (俄亥俄)

  • 美國東部 (維吉尼亞北部)

  • 美國西部 (加利佛尼亞北部)

  • 美國西部 (奧勒岡)

  • 非洲 (開普敦)

  • 亞太區域 (香港)

  • 亞太區域 (海德拉巴)

  • 亞太區域 (雅加達)

  • 亞太區域 (墨爾本)

  • 亞太區域 (孟買)

  • 亞太區域 (大阪)

  • 亞太區域 (首爾)

  • 亞太區域 (新加坡)

  • 亞太區域 (雪梨)

  • 亞太區域 (東京)

  • 加拿大 (中部)

  • 加拿大西部 (卡加利)

  • 歐洲 (法蘭克福)

  • 歐洲 (愛爾蘭)

  • 歐洲 (倫敦)

  • 歐洲 (米蘭)

  • Europe (Paris)

  • 歐洲 (西班牙)

  • 歐洲 (斯德哥爾摩)

  • 歐洲 (蘇黎世)

  • 以色列 (特拉維夫)

  • Middle East (Bahrain)

  • 中東 (阿拉伯聯合大公國)

  • 南美洲 (聖保羅)

建立 的 VPC 端點 AWS 私有 CA

您可以使用位於 https://https://console.aws.amazon.com/vpc/ 的 VPC 主控台或 來建立 AWS 私有 CA 服務的 VPC 端點 AWS Command Line Interface。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立界面端點程序。 AWS 私有 CA 支援呼叫 VPC 內的所有 API 操作。

如果您已啟用端點的私有 DNS 主機名稱,則預設 AWS 私有 CA 端點現在會解析為您的 VPC 端點。如需預設服務端點的完整清單,請參閱服務端點和配額

如果您尚未啟用私有 DNS 主機名稱,Amazon VPC 會提供 DNS 端點名稱,您可以使用下列格式:

vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
注意

區域代表 支援的 AWS 區域的區域識別符 AWS 私有 CA,例如us-east-2美國東部 (俄亥俄) 區域。如需 的清單 AWS 私有 CA,請參閱 AWS Certificate Manager Private Certificate Authority Endpoints and Quotas

如需詳細資訊,請參閱《Amazon AWS 私有 CA VPC 使用者指南》中的 VPC 端點 (AWS PrivateLink)

您可以為 的 Amazon VPC 端點建立政策 AWS 私有 CA ,以指定下列項目:

  • 可執行動作的委託人

  • 可執行的動作

  • 可在其中執行動作的資源

如需詳細資訊,請參閱《Amazon VPC 指南》中的使用 VPC 端點控制對 服務的存取

範例 – AWS 私有 CA 動作的 VPC 端點政策

連接到端點時,下列政策會授予所有主體對 AWS 私有 CA 動作 IssueCertificateDescribeCertificateAuthority、、GetCertificateGetCertificateAuthorityCertificateListPermissions和 的存取權ListTags。每一節中的資源都是私有 CA。第一節會授權使用指定的私有 CA 和憑證範本建立終端實體憑證。如果您不想要控制使用的範本,則不需要 Condition 區段。但是,移除此區段會允許所有委託人建立 CA 憑證及終端實體憑證。

{
      "Statement":[
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:IssueCertificate"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ],
            "Condition":{
               "StringEquals":{
                  "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
               }
            }
         },
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:DescribeCertificateAuthority",
               "acm-pca:GetCertificate",
               "acm-pca:GetCertificateAuthorityCertificate",
               "acm-pca:ListPermissions",
               "acm-pca:ListTags"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ]
         }
      ]
   }