AWS Private CA VPC-Endpunkte ()AWS PrivateLink - AWS Private Certificate Authority
Überlegungen zu AWS Private CA VPC-EndpunktenErstellung der VPC-Endpoints für AWS Private CAErstellen einer VPC-Endpunktrichtlinie für AWS Private CA

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Private CA VPC-Endpunkte ()AWS PrivateLink

Sie können eine private Verbindung zwischen Ihrer VPC und AWS Private CA durch die Konfiguration eines VPC-Schnittstellen-Endpunkts herstellen. Schnittstellen-Endpunkte werden von AWS PrivateLinkeiner Technologie für den privaten Zugriff auf AWS Private CA API-Operationen unterstützt. AWS PrivateLink leitet den gesamten Netzwerkverkehr zwischen Ihrer VPC und AWS Private CA über das Amazon-Netzwerk weiter und verhindert so, dass er im offenen Internet offengelegt wird. Jeder VPC-Endpunkt wird durch eine oder mehrere Elastic Network-Schnittstellen mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert.

Der VPC-Endpunkt der Schnittstelle verbindet Ihre VPC direkt, AWS Private CA ohne dass ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder AWS Direct Connect eine Verbindung erforderlich ist. Die Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit der AWS Private CA API zu kommunizieren.

Für die Nutzung AWS Private CA über Ihre VPC müssen Sie von einer Instance aus eine Verbindung herstellen, die sich innerhalb der VPC befindet. Alternativ können Sie Ihr privates Netzwerk mit Ihrer VPC verbinden, indem Sie ein AWS Virtual Private Network (AWS VPN) oder AWS Direct Connect verwenden. Weitere Informationen dazu AWS VPN finden Sie unter VPN-Verbindungen im Amazon VPC-Benutzerhandbuch. Weitere Informationen dazu AWS Direct Connect finden Sie unter Verbindung erstellen im AWS Direct Connect Benutzerhandbuch.

AWS Private CA erfordert nicht die Verwendung von AWS PrivateLink, wir empfehlen es jedoch als zusätzliche Sicherheitsebene. Weitere Informationen zu AWS PrivateLink VPC-Endpunkten finden Sie unter Zugreifen auf Dienste über. AWS PrivateLink

Überlegungen zu AWS Private CA VPC-Endpunkten

Bevor Sie Schnittstellen-VPC-Endpoints für einrichten AWS Private CA, sollten Sie die folgenden Überlegungen beachten:

  • AWS Private CA unterstützt in einigen Availability Zones möglicherweise keine VPC-Endpunkte. Wenn Sie einen VPC-Endpunkt erstellen, überprüfen Sie zunächst die Unterstützung in der Managementkonsole. Nicht unterstützte Availability Zones sind mit „Service not supported in this Availability Zone“ gekennzeichnet.

  • VPC-Endpunkte unterstützen keine regionsübergreifenden Anforderungen. Stellen Sie sicher, dass Sie Ihren Endpunkt innerhalb derselben Region erstellen, in der Sie Ihre API-Aufrufe an AWS Private CA ausgeben möchten.

  • VPC-Endpunkte unterstützen nur von Amazon bereitgestelltes DNS über Amazon Route 53. Wenn Sie Ihre eigene DNS verwenden möchten, können Sie die bedingte DNS-Weiterleitung nutzen. Weitere Informationen finden Sie unter DHCP Options Sets im Amazon VPC-Benutzerhandbuch.

  • Die Sicherheitsgruppe für den VPC-Endpunkt müssen eingehende Verbindungen auf Port 443 aus dem privaten Subnetz der VPC zulassen.

  • AWS Certificate Manager unterstützt keine VPC-Endpunkte.

  • FIPS-Endpunkte (und ihre Regionen) unterstützen keine VPC-Endpunkte.

AWS Private CA Die API unterstützt derzeit VPC-Endpunkte in den folgenden Bereichen: AWS-Regionen

  • US East (Ohio)

  • USA Ost (Nord-Virginia)

  • USA West (Nordkalifornien)

  • USA West (Oregon)

  • Africa (Cape Town)

  • Asien-Pazifik (Hongkong)

  • Asien-Pazifik (Hyderabad)

  • Asien-Pazifik (Jakarta)

  • Asien-Pazifik (Melbourne)

  • Asien-Pazifik (Mumbai)

  • Asien-Pazifik (Osaka)

  • Asien-Pazifik (Seoul)

  • Asien-Pazifik (Singapur)

  • Asien-Pazifik (Sydney)

  • Asien-Pazifik (Tokio)

  • Canada (Central)

  • Kanada West (Calgary)

  • Europe (Frankfurt)

  • Europa (Irland)

  • Europa (London)

  • Europa (Milan)

  • Europa (Paris)

  • Europa (Spain)

  • Europa (Stockholm)

  • Europa (Zürich)

  • Israel (Tel Aviv)

  • Naher Osten (Bahrain)

  • Naher Osten (VAE)

  • Südamerika (São Paulo)

Erstellung der VPC-Endpoints für AWS Private CA

Sie können einen VPC-Endpunkt für den AWS Private CA Service entweder mit der VPC-Konsole unter https://console.aws.amazon.com/vpc/oder mit erstellen. AWS Command Line Interface Weitere Informationen finden Sie im Verfahren Creating an Interface Endpoint im Amazon VPC-Benutzerhandbuch. AWS Private CA unterstützt Aufrufe aller API-Operationen in Ihrer VPC.

Wenn Sie private DNS-Hostnamen für den Endpunkt aktiviert haben, wird der AWS Private CA Standardendpunkt jetzt in Ihren VPC-Endpunkt aufgelöst. Eine umfassende Liste der Standard-Serviceendpunkte finden Sie unter Service-Endpunkte und Kontingente.

Wenn Sie keine privaten DNS-Hostnamen aktiviert haben, stellt Amazon VPC einen DNS-Endpunktnamen bereit, den Sie im folgenden Format verwenden können:

vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
Anmerkung

Der Wert region steht für die Regionskennung für eine AWS Region, die von unterstützt wird AWS Private CA, z. B. us-east-2 für die Region USA Ost (Ohio). Eine Liste von AWS Private CA finden Sie unter AWS Certificate Manager Private Certificate Authority Endpoints and Quotas.

Weitere Informationen finden Sie unter AWS Private CA VPC-Endpunkte (AWS PrivateLink) im Amazon VPC-Benutzerhandbuch.

Sie können eine Richtlinie für Amazon VPC-Endpunkte erstellen AWS Private CA , um Folgendes anzugeben:

  • Der Prinzipal, der die Aktionen ausführen kann

  • Aktionen, die ausgeführt werden können

  • Ressourcen, für die Aktionen ausgeführt werden können

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon VPC User Guide.

Beispiel — VPC-Endpunktrichtlinie für Aktionen AWS Private CA

Wenn sie an einen Endpunkt angehängt ist, gewährt die folgende Richtlinie allen Prinzipalen Zugriff auf die AWS Private CA AktionenIssueCertificate,DescribeCertificateAuthority,GetCertificate, GetCertificateAuthorityCertificateListPermissions, und. ListTags Die Ressource in jedem Abschnitt ist eine private Zertifizierungsstelle. Im ersten Abschnitt wird die Erstellung von Endentitätszertifikaten unter Verwendung der angegebenen privaten Zertifizierungsstelle und Zertifikatvorlage autorisiert. Wenn Sie die verwendete Vorlage nicht kontrollieren möchten, wird der Abschnitt Condition nicht benötigt. Wenn Sie diesen jedoch entfernen, können alle Prinzipale CA-Zertifikate sowie Endentitätszertifikate erstellen.

{
      "Statement":[
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:IssueCertificate"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ],
            "Condition":{
               "StringEquals":{
                  "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
               }
            }
         },
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:DescribeCertificateAuthority",
               "acm-pca:GetCertificate",
               "acm-pca:GetCertificateAuthorityCertificate",
               "acm-pca:ListPermissions",
               "acm-pca:ListTags"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ]
         }
      ]
   }