Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorité de certification privée AWS Points de terminaison VPC ()AWS PrivateLink
Vous pouvez créer une connexion privée entre votre VPC et configurer un point de Autorité de certification privée AWS terminaison VPC d'interface. Les points de terminaison de l'interface sont AWS PrivateLinkalimentés par une technologie d'accès privé aux opérations Autorité de certification privée AWS d'API. AWS PrivateLink achemine tout le trafic réseau entre votre VPC et Autorité de certification privée AWS via le réseau Amazon, évitant ainsi toute exposition sur Internet ouvert. Chaque point de terminaison d'un VPC est représenté par une ou plusieurs interfaces réseau Elastic avec des adresses IP privées dans vos sous-réseaux VPC.
Le point de terminaison VPC de l'interface connecte directement votre VPC Autorité de certification privée AWS sans passerelle Internet, périphérique NAT, connexion VPN ou connexion. AWS Direct Connect Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec l' Autorité de certification privée AWS API.
Pour l'utiliser Autorité de certification privée AWS via votre VPC, vous devez vous connecter à partir d'une instance située à l'intérieur du VPC. Vous pouvez également connecter votre réseau privé à votre VPC à l'aide d'un AWS Virtual Private Network (AWS VPN) ou. AWS Direct Connect Pour plus d'informations AWS VPN, consultez la section Connexions VPN dans le guide de l'utilisateur Amazon VPC. Pour plus d'informations AWS Direct Connect, voir Création d'une connexion dans le guide de AWS Direct Connect l'utilisateur.
Autorité de certification privée AWS ne nécessite pas l'utilisation de AWS PrivateLink, mais nous vous recommandons de l'utiliser comme couche de sécurité supplémentaire. Pour plus d'informations sur les points AWS PrivateLink de terminaison VPC, consultez la section Accès aux services via. AWS PrivateLink
Considérations relatives aux points de Autorité de certification privée AWS terminaison VPC
Avant de configurer les points de terminaison VPC d'interface pour Autorité de certification privée AWS, tenez compte des points suivants :
-
Autorité de certification privée AWS peut ne pas prendre en charge les points de terminaison VPC dans certaines zones de disponibilité. Lorsque vous créez un point de terminaison VPC, vérifiez d'abord le support dans la console de gestion. Les zones de disponibilité non prises en charge sont marquées « Service non pris en charge dans cette zone de disponibilité ».
-
Les points de terminaison d'un VPC ne prennent pas en charge les demandes inter-régionales. Veillez à créer votre point de terminaison dans la même région que celle dans laquelle vous souhaitez envoyer vos appels d'API à Autorité de certification privée AWS.
-
Les points de terminaison VPC prennent uniquement en charge le DNS fourni par Amazon via Amazon Route 53. Si vous souhaitez utiliser votre propre DNS, vous pouvez utiliser le transfert DNS conditionnel. Pour en savoir plus, consultez Jeux d'options DHCP dans le Guide de l'utilisateur Amazon VPC.
-
Le groupe de sécurité attaché au point de terminaison d'un VPC doit autoriser les connexions entrantes sur le port 443 à partir du sous-réseau privé du VPC.
-
AWS Certificate Manager ne prend pas en charge les points de terminaison VPC.
-
Les points de terminaison FIPS (et leurs régions) ne prennent pas en charge les points de terminaison d'un VPC.
Autorité de certification privée AWS L'API prend actuellement en charge les points de terminaison VPC dans les domaines suivants : Régions AWS
-
USA Est (Ohio)
-
USA Est (Virginie du Nord)
-
USA Ouest (Californie du Nord)
-
USA Ouest (Oregon)
-
Afrique (Le Cap)
-
Asie-Pacifique (Hong Kong)
-
Asia Pacific (Mumbai)
-
Asie-Pacifique (Osaka)
-
Asia Pacific (Seoul)
-
Asie-Pacifique (Singapour)
-
Asie-Pacifique (Sydney)
-
Asie-Pacifique (Tokyo)
-
Canada (Centre)
-
Europe (Francfort)
-
Europe (Irlande)
-
Europe (Londres)
-
Europe (Paris)
-
Europe (Stockholm)
-
Europe (Milan)
-
Israël (Tel Aviv)
-
Moyen-Orient (Bahreïn)
-
Amérique du Sud (Sao Paulo)
Création des points de terminaison VPC pour Autorité de certification privée AWS
Vous pouvez créer un point de terminaison VPC pour le Autorité de certification privée AWS service à l'aide de la console VPC à l'adresse https://console.aws.amazon.com/vpc/ ou du.
Si vous avez activé les noms d'hôte DNS privés pour le point de terminaison, le point de Autorité de certification privée AWS terminaison par défaut devient désormais votre point de terminaison VPC. Pour obtenir une liste complète des points de terminaison de service par défaut, veuillez consulter Points de terminaison et quotas de service.
Si vous n'avez pas activé les noms d'hôte DNS privés, Amazon VPC fournit un nom de point de terminaison DNS que vous pouvez utiliser au format suivant :
vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
Note
La région de valeur représente l'identifiant de région d'une AWS région prise en charge par Autorité de certification privée AWS, par exemple us-east-2 pour la région USA Est (Ohio). Pour en obtenir la liste Autorité de certification privée AWS, voir AWS Certificate Manager Private Certificate Authority Endpoints and Quotas.
Pour plus d'informations, consultez la section Points de terminaison Autorité de certification privée AWS VPC (AWS PrivateLink) dans le guide de l'utilisateur Amazon VPC.
Création d'une stratégie de point de terminaison de VPC pour Autorité de certification privée AWS
Vous pouvez créer une politique pour les points de terminaison Amazon VPC Autorité de certification privée AWS afin de spécifier les éléments suivants :
-
Le principal qui peut exécuter des actions.
-
Les actions qui peuvent être effectuées.
-
Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d’informations, veuillez consulter Contrôle de l’accès aux services avec des points de terminaison d’un VPC dans le Amazon VPC Guide de l’utilisateur.
Exemple — Politique de point de terminaison VPC pour les actions Autorité de certification privée AWS
Lorsqu'elle est attachée à un point de terminaison, la politique suivante accorde l'accès à tous les principaux aux Autorité de certification privée AWS actions IssueCertificateDescribeCertificateAuthority,GetCertificate,GetCertificateAuthorityCertificate,ListPermissions, etListTags. La ressource dans chaque strophe est une autorité de certification privée. La première strophe autorise la création de certificats d'entité finale à l'aide de l'autorité de certification privée spécifiée et du modèle de certificat. Si vous ne souhaitez pas contrôler le modèle utilisé, la section Condition n'est pas nécessaire. Cependant, la suppression de cette option permet à tous les principaux de créer des certificats d'une autorité de certification ainsi que des certificats d'entité finale.
{ "Statement":[ { "Principal":"*", "Effect":"Allow", "Action":[ "acm-pca:IssueCertificate" ], "Resource":[ "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" ], "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } }, { "Principal":"*", "Effect":"Allow", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":[ "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" ] } ] }
