Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Autoridad de certificación privada de AWS Puntos finales de VPC ()AWS PrivateLink
Puede crear una conexión privada entre su VPC y configurar un punto final de Autoridad de certificación privada de AWS la VPC de interfaz. Los puntos finales de la interfaz funcionan con una tecnología para acceder de forma privada a Autoridad de certificación privada de AWS las operaciones de la API. AWS PrivateLink AWS PrivateLink enruta todo el tráfico de red entre su VPC y Autoridad de certificación privada de AWS a través de la red de Amazon, lo que evita la exposición en Internet abierta. Cada punto de enlace de la VPC está representado por una o varias interfaces de red elástica con direcciones IP privadas en las subredes de la VPC.
El punto de conexión de la VPC de la interfaz conecta su VPC directamente Autoridad de certificación privada de AWS sin una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. AWS Direct Connect Las instancias de tu VPC no necesitan direcciones IP públicas para comunicarse con la Autoridad de certificación privada de AWS API.
Para usarlo Autoridad de certificación privada de AWS a través de la VPC, debe conectarse desde una instancia que esté dentro de la VPC. Como alternativa, puede conectar la red privada a la VPC mediante un AWS Virtual Private Network (AWS VPN) o. AWS Direct Connect Para obtener más información AWS VPN, consulte Conexiones VPN en la Guía del usuario de Amazon VPC. Para obtener más información AWS Direct Connect, consulte Creación de una conexión en la Guía del AWS Direct Connect usuario.
Autoridad de certificación privada de AWS no requiere el uso de AWS PrivateLink, pero se recomienda como capa de seguridad adicional. Para obtener más información sobre AWS PrivateLink los puntos de enlace de la VPC, consulte Acceder a los servicios mediante. AWS PrivateLink
Consideraciones sobre los puntos Autoridad de certificación privada de AWS finales de VPC
Antes de configurar los puntos finales de la VPC de la interfaz Autoridad de certificación privada de AWS, tenga en cuenta las siguientes consideraciones:
-
Autoridad de certificación privada de AWS es posible que no sea compatible con los puntos de conexión de VPC en algunas zonas de disponibilidad. Cuando cree un punto de conexión de VPC, compruebe primero el soporte en la consola de administración. Las zonas de disponibilidad no compatibles aparecen marcadas como “Service not supported in this Availability Zone” (El servicio no es compatible en esta zona de disponibilidad).
-
Los puntos de conexión de VPC no admiten las solicitudes entre regiones. Asegúrese de crear su punto de conexión en la misma región en la que tiene previsto enviar llamadas a la API de Autoridad de certificación privada de AWS.
-
Los puntos de conexión de VPC solo admiten DNS proporcionadas por Amazon a través de Amazon Route 53. Si desea utilizar su propio DNS, puede utilizar el enrutamiento de DNS condicional. Para obtener más información, consulte Conjuntos de opciones de DHCP en la Guía del usuario de Amazon VPC.
-
El grupo de seguridad asociado al punto de conexión de la VPC debe permitir las conexiones entrantes en el puerto 443 desde la subred privada de la VPC.
-
AWS Certificate Manager no admite puntos finales de VPC.
-
Los puntos de conexión de FIPS (y sus regiones) no admiten puntos de enlace de la VPC.
Autoridad de certificación privada de AWS Actualmente, la API admite los puntos finales de VPC en los siguientes aspectos: Regiones de AWS
-
US East (Ohio)
-
Este de EE. UU. (Norte de Virginia)
-
Oeste de EE. UU. (Norte de California)
-
Oeste de EE. UU. (Oregón)
-
África (Ciudad del Cabo)
-
Asia-Pacífico (Hong Kong)
-
Asia-Pacífico (Bombay)
-
Asia-Pacífico (Osaka)
-
Asia-Pacífico (Seúl)
-
Asia-Pacífico (Singapur)
-
Asia-Pacífico (Sídney)
-
Asia-Pacífico (Tokio)
-
Canadá (centro)
-
Europa (Fráncfort)
-
Europa (Irlanda)
-
Europa (Londres)
-
Europa (París)
-
Europa (Estocolmo)
-
Europa (Milán)
-
Israel (Tel Aviv)
-
Medio Oriente (Baréin)
-
América del Sur (São Paulo)
Creación de puntos de conexión de VPC para Autoridad de certificación privada de AWS
Puede crear un punto de enlace de VPC para el Autoridad de certificación privada de AWS servicio mediante la consola de VPC en https://console.aws.amazon.com/vpc/ o el.
Si ha habilitado nombres de host de DNS privados para el punto de conexión, el punto de conexión Autoridad de certificación privada de AWS predeterminado se resuelve ahora en el punto de conexión de VPC. Para obtener una lista completa de los puntos de conexión de servicio predeterminados, consulte Puntos de enlace de servicio y cuotas.
Si no ha habilitado nombres de host de DNS privados, Amazon VPC proporciona un nombre de punto de conexión de DNS que puede utilizar en el siguiente formato:
vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
nota
La región de valores representa el identificador de AWS región de una región compatible Autoridad de certificación privada de AWS, como us-east-2 la región EE.UU. Este (Ohio). Para obtener una lista Autoridad de certificación privada de AWS, consulte AWS Certificate Manager Private Certificate Authority Endpoints and Quotas.
Para obtener más información, consulte los puntos de enlace de la Autoridad de certificación privada de AWS VPC (AWS PrivateLink) en la Guía del usuario de Amazon VPC.
Creación de una política de puntos de conexión de VPC para Autoridad de certificación privada de AWS
Puede crear una política para los puntos de enlace de Amazon VPC Autoridad de certificación privada de AWS para especificar lo siguiente:
-
La entidad principal que puede realizar acciones
-
Las acciones que se pueden realizar
-
Los recursos en los que se pueden llevar a cabo las acciones
Para obtener más información, consulte Controlar el acceso a servicios con puntos de conexión de VPC en la Guía del usuario de Amazon VPC.
Ejemplo: política de puntos finales de VPC para acciones Autoridad de certificación privada de AWS
Cuando se conecta a un punto final, la siguiente política otorga acceso a todos los principales a las Autoridad de certificación privada de AWS accionesIssueCertificate,,DescribeCertificateAuthority, GetCertificate GetCertificateAuthorityCertificateListPermissions, y. ListTags El recurso en cada estrofa es una entidad de certificación privada. La primera estrofa autoriza la creación de certificados de entidad final utilizando la entidad de certificación privada y la plantilla de certificado especificados. Si no desea controlar la plantilla que se está utilizando, la sección Condition no es necesaria. Sin embargo, al eliminar esto, todas las entidades principales pueden crear certificados de entidad de certificación, así como certificados de entidad final.
{ "Statement":[ { "Principal":"*", "Effect":"Allow", "Action":[ "acm-pca:IssueCertificate" ], "Resource":[ "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" ], "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } }, { "Principal":"*", "Effect":"Allow", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":[ "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" ] } ] }
