AWS Private CA VPC-Endpunkte (AWS PrivateLink) - AWS Private Certificate Authority
Überlegungen zu AWS Private CA VPC-EndpunktenErstellen der VPC-Endpunkte für AWS Private CAErstellen einer VPC-Endpunktrichtlinie für AWS Private CA

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Private CA VPC-Endpunkte (AWS PrivateLink)

Sie können eine private Verbindung zwischen Ihrer VPC und herstellen, AWS Private CA indem Sie einen Schnittstellen-VPC-Endpunkt konfigurieren. Schnittstellenendpunkte werden von unterstütztAWS PrivateLink, einer Technologie für den privaten Zugriff auf AWS Private CA -API-Operationen. AWS PrivateLink leitet den gesamten Netzwerkverkehr zwischen Ihrer VPC und AWS Private CA über das Amazon-Netzwerk weiter, sodass keine Risiken im offenen Internet vermieden werden. Jeder VPC-Endpunkt wird durch eine oder mehrere Elastic Network-Schnittstellen mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert.

Der Schnittstellen-VPC-Endpunkt verbindet Ihre VPC direkt mit AWS Private CA ohne Internet-Gateway, NAT-Gerät, VPN-Verbindung oder - AWS Direct Connect Verbindung. Die Instances in Ihrer VPC benötigen für die Kommunikation mit der AWS Private CA API keine öffentlichen IP-Adressen.

Um AWS Private CA über Ihre VPC zu verwenden, müssen Sie eine Verbindung von einer Instance innerhalb der VPC herstellen. Alternativ können Sie Ihr privates Netzwerk mit Ihrer VPC verbinden, indem Sie eine AWS Virtual Private Network (AWS VPN) oder verwenden AWS Direct Connect. Weitere Informationen zu AWS VPN finden Sie unter VPN-Verbindungen im Amazon-VPC-Benutzerhandbuch. Weitere Informationen zu AWS Direct Connect finden Sie unter Erstellen einer Verbindung im AWS Direct Connect -Benutzerhandbuch.

AWS Private CA erfordert nicht die Verwendung von AWS PrivateLink, aber wir empfehlen es als zusätzliche Sicherheitsebene. Weitere Informationen zu AWS PrivateLink und VPC-Endpunkten finden Sie unter Zugriff auf -Services über AWS PrivateLink.

Überlegungen zu AWS Private CA VPC-Endpunkten

Beachten Sie die folgenden Überlegungen AWS Private CA, bevor Sie Schnittstellen-VPC-Endpunkte für einrichten:

  • AWS Private CA unterstützt in einigen Availability Zones möglicherweise keine VPC-Endpunkte. Wenn Sie einen VPC-Endpunkt erstellen, überprüfen Sie zunächst den Support in der -Managementkonsole. Nicht unterstützte Availability Zones werden als „Service wird in dieser Availability Zone nicht unterstützt“ markiert.

  • VPC-Endpunkte unterstützen keine regionsübergreifenden Anforderungen. Stellen Sie sicher, dass Sie Ihren Endpunkt innerhalb derselben Region erstellen, in der Sie Ihre API-Aufrufe an AWS Private CA ausgeben möchten.

  • VPC-Endpunkte unterstützen nur von Amazon bereitgestelltes DNS über Amazon Route 53. Wenn Sie Ihre eigene DNS verwenden möchten, können Sie die bedingte DNS-Weiterleitung nutzen. Weitere Informationen finden Sie unter DHCP Options Sets im Amazon VPC-Benutzerhandbuch.

  • Die Sicherheitsgruppe für den VPC-Endpunkt müssen eingehende Verbindungen auf Port 443 aus dem privaten Subnetz der VPC zulassen.

  • AWS Certificate Manager unterstützt keine VPC-Endpunkte.

  • FIPS-Endpunkte (und ihre Regionen) unterstützen keine VPC-Endpunkte.

AWS Private CA Die -API unterstützt derzeit VPC-Endpunkte in den folgenden AWS-Regionen:

  • US East (Ohio)

  • USA Ost (Nord-Virginia)

  • USA West (Nordkalifornien)

  • USA West (Oregon)

  • Africa (Cape Town)

  • Asia Pacific (Hong Kong)

  • Asia Pacific (Mumbai)

  • Asia Pacific (Osaka)

  • Asia Pacific (Seoul)

  • Asien-Pazifik (Singapur)

  • Asien-Pazifik (Sydney)

  • Asien-Pazifik (Tokio)

  • Canada (Central)

  • Europe (Frankfurt)

  • Europa (Irland)

  • Europe (London)

  • Europe (Paris)

  • Europe (Stockholm)

  • Europa (Milan)

  • Israel (Tel Aviv)

  • Naher Osten (Bahrain)

  • Südamerika (São Paulo)

Erstellen der VPC-Endpunkte für AWS Private CA

Sie können einen VPC-Endpunkt für den AWS Private CA Service mithilfe der VPC-Konsole unter https://console.aws.amazon.com/vpc/ oder der erstellen AWS Command Line Interface. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts im Amazon-VPC-Benutzerhandbuch. AWS Private CA unterstützt Aufrufe an alle API-Operationen innerhalb Ihrer VPC.

Wenn Sie private DNS-Hostnamen für den Endpunkt aktiviert haben, wird der AWS Private CA Standardendpunkt jetzt in Ihren VPC-Endpunkt aufgelöst. Eine umfassende Liste der Standard-Serviceendpunkte finden Sie unter Service-Endpunkte und Kontingente.

Wenn Sie keine privaten DNS-Hostnamen aktiviert haben, stellt Amazon VPC einen DNS-Endpunktnamen bereit, den Sie im folgenden Format verwenden können:

vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
Anmerkung

Die Wertregion stellt die Regionskennung für eine von unterstützte AWS Region dar AWS Private CA, z. B. us-east-2 für die Region USA Ost (Ohio). Eine Liste von AWS Private CA finden Sie unter AWS Certificate Manager Private Certificate Authority Endpunkte und Kontingente.

Weitere Informationen finden Sie unter AWS Private CA VPC-Endpunkte (AWS PrivateLink) im Amazon-VPC-Benutzerhandbuch.

Sie können eine Richtlinie für Amazon-VPC-Endpunkte für erstellen AWS Private CA , um Folgendes anzugeben:

  • Der Prinzipal, der die Aktionen ausführen kann

  • Aktionen, die ausgeführt werden können

  • Ressourcen, für die Aktionen ausgeführt werden können

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC User Guide.

Beispiel – VPC-Endpunktrichtlinie für - AWS Private CA Aktionen

Wenn die folgende Richtlinie an einen Endpunkt angefügt wird, gewährt sie allen Prinzipalen Zugriff auf die AWS Private CA Aktionen IssueCertificate, DescribeCertificateAuthority, GetCertificateAuthorityCertificate, GetCertificateListPermissions, und ListTags. Die Ressource in jedem Abschnitt ist eine private Zertifizierungsstelle. Im ersten Abschnitt wird die Erstellung von Endentitätszertifikaten unter Verwendung der angegebenen privaten Zertifizierungsstelle und Zertifikatvorlage autorisiert. Wenn Sie die verwendete Vorlage nicht kontrollieren möchten, wird der Abschnitt Condition nicht benötigt. Wenn Sie diesen jedoch entfernen, können alle Prinzipale CA-Zertifikate sowie Endentitätszertifikate erstellen.

{
      "Statement":[
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:IssueCertificate"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ],
            "Condition":{
               "StringEquals":{
                  "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
               }
            }
         },
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:DescribeCertificateAuthority",
               "acm-pca:GetCertificate",
               "acm-pca:GetCertificateAuthorityCertificate",
               "acm-pca:ListPermissions",
               "acm-pca:ListTags"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ]
         }
      ]
   }