Autoridad de certificación privada de AWS VPCpuntos finales ()AWS PrivateLink - AWS Private Certificate Authority

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autoridad de certificación privada de AWS VPCpuntos finales ()AWS PrivateLink

Puedes crear una conexión privada entre tu dispositivo VPC y Autoridad de certificación privada de AWS configurando un VPC punto final de interfaz. Los puntos finales de la interfaz funcionan con una tecnología para acceder de forma privada a Autoridad de certificación privada de AWS API las operaciones. AWS PrivateLink AWS PrivateLink enruta todo el tráfico de red entre tu Autoridad de certificación privada de AWS red VPC y la red de Amazon, evitando la exposición en Internet abierta. Cada VPC punto final está representado por una o más interfaces de red elásticas con direcciones IP privadas en las VPC subredes.

El VPC punto final de la interfaz lo conecta VPC directamente Autoridad de certificación privada de AWS sin una puerta de enlace a Internet, NAT dispositivo, VPN conexión o AWS Direct Connect conexión. Las instancias VPC que tengas no necesitan direcciones IP públicas para comunicarse con el Autoridad de certificación privada de AWS API.

Para Autoridad de certificación privada de AWS utilizarlas a través de suVPC, debe conectarse desde una instancia que se encuentre dentro deVPC. Como alternativa, puede conectar su red privada a la VPC suya mediante un AWS Virtual Private Network (AWS VPN) o AWS Direct Connect. Para obtener más información AWS VPN, consulte VPNConexiones en la Guía del VPC usuario de Amazon. Para obtener más información AWS Direct Connect, consulte Creación de una conexión en la Guía del AWS Direct Connect usuario.

Autoridad de certificación privada de AWS no requiere el uso de AWS PrivateLink, pero se recomienda como capa de seguridad adicional. Para obtener más información sobre AWS PrivateLink los VPC puntos finales, consulte Acceder a los servicios mediante AWS PrivateLink.

Consideraciones sobre los puntos finales Autoridad de certificación privada de AWS VPC

Antes de configurar los VPC puntos finales de la interfaz Autoridad de certificación privada de AWS, tenga en cuenta las siguientes consideraciones:

  • Autoridad de certificación privada de AWS es posible que no sea compatible con VPC los puntos finales en algunas zonas de disponibilidad. Al crear un VPC punto final, compruebe primero el soporte en la consola de administración. Las zonas de disponibilidad no compatibles aparecen marcadas como “Service not supported in this Availability Zone” (El servicio no es compatible en esta zona de disponibilidad).

  • VPCLos puntos finales no admiten solicitudes entre regiones. Asegúrese de crear su terminal en la misma región a la que planea realizar las API llamadas. Autoridad de certificación privada de AWS

  • VPClos puntos de enlace solo admiten Amazon proporcionados DNS a través de Amazon Route 53. Si quieres usar el tuyo propioDNS, puedes usar el DNS reenvío condicional. Para obtener más información, consulta Conjuntos de DHCP opciones en la Guía del VPC usuario de Amazon.

  • El grupo de seguridad adjunto al VPC punto final debe permitir las conexiones entrantes en el puerto 443 desde la subred privada delVPC.

  • AWS Certificate Manager no admite puntos VPC finales.

  • FIPSlos puntos finales (y sus regiones) no son compatibles VPC con los puntos finales.

Autoridad de certificación privada de AWS APIactualmente admite VPC puntos finales en los siguientes lugares: Regiones de AWS

  • US East (Ohio)

  • Este de EE. UU. (Norte de Virginia)

  • Oeste de EE. UU. (Norte de California)

  • Oeste de EE. UU. (Oregón)

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Hong Kong)

  • Asia-Pacífico (Hyderabad)

  • Asia-Pacífico (Yakarta)

  • Asia-Pacífico (Melbourne)

  • Asia-Pacífico (Mumbai)

  • Asia-Pacífico (Osaka)

  • Asia-Pacífico (Seúl)

  • Asia-Pacífico (Singapur)

  • Asia-Pacífico (Sídney)

  • Asia-Pacífico (Tokio)

  • Canadá (centro)

  • Oeste de Canadá (Calgary

  • Europa (Fráncfort)

  • Europa (Irlanda)

  • Europa (Londres)

  • Europa (Milán)

  • Europa (París)

  • Europa (España)

  • Europa (Estocolmo)

  • Europa (Zúrich)

  • Israel (Tel Aviv)

  • Medio Oriente (Baréin)

  • Oriente Medio () UAE

  • América del Sur (São Paulo)

Crear los VPC puntos finales para Autoridad de certificación privada de AWS

Puede crear un VPC punto final para el Autoridad de certificación privada de AWS servicio mediante la VPC consola de https://console.aws.amazon.com/vpc/o el AWS Command Line Interface. Para obtener más información, consulte el procedimiento de creación de un punto final de interfaz en la Guía del VPC usuario de Amazon. Autoridad de certificación privada de AWS permite realizar llamadas a todas sus API operaciones dentro de suVPC.

Si ha habilitado los nombres de DNS host privados para el punto final, el Autoridad de certificación privada de AWS punto final predeterminado ahora pasa a ser su VPC punto final. Para obtener una lista completa de los puntos de conexión de servicio predeterminados, consulte Puntos de enlace de servicio y cuotas.

Si no has activado los nombres de DNS host privados, Amazon VPC proporciona un nombre de DNS punto final que puedes usar en el siguiente formato:

vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
nota

El valor region representa el identificador de AWS región de una región compatible Autoridad de certificación privada de AWS, como us-east-2 la región EE.UU. Este (Ohio). Para obtener una lista Autoridad de certificación privada de AWS, consulte AWS Certificate Manager Private Certificate Authority Endpoints and Quotas.

Para obtener más información, consulta Autoridad de certificación privada de AWS VPCendpoints (AWS PrivateLink) en la Guía del VPC usuario de Amazon.

Puedes crear una política para los VPC puntos de enlace de Amazon Autoridad de certificación privada de AWS para especificar lo siguiente:

  • La entidad principal que puede realizar acciones

  • Las acciones que se pueden realizar

  • Los recursos en los que se pueden llevar a cabo las acciones

Para obtener más información, consulte Control del acceso a los servicios con VPC puntos de enlace en la Guía del VPC usuario de Amazon.

Ejemplo: política de VPC puntos finales para las acciones Autoridad de certificación privada de AWS

Cuando se adjunta a un punto final, la siguiente política otorga acceso a todos los principales a las Autoridad de certificación privada de AWS accionesIssueCertificate,DescribeCertificateAuthority,GetCertificate, GetCertificateAuthorityCertificateListPermissions, yListTags. El recurso en cada estrofa es una entidad de certificación privada. La primera estrofa autoriza la creación de certificados de entidad final utilizando la entidad de certificación privada y la plantilla de certificado especificados. Si no desea controlar la plantilla que se está utilizando, la sección Condition no es necesaria. Sin embargo, al eliminar esto, todas las entidades principales pueden crear certificados de entidad de certificación, así como certificados de entidad final.

{ "Statement":[ { "Principal":"*", "Effect":"Allow", "Action":[ "acm-pca:IssueCertificate" ], "Resource":[ "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" ], "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } }, { "Principal":"*", "Effect":"Allow", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":[ "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" ] } ] }