Apportez votre propre certificat (BYOC) pour VPC Lattice - Amazon VPC Lattice
Sécurisation de la clé privée de votre certificat

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Apportez votre propre certificat (BYOC) pour VPC Lattice

Pour répondre aux HTTPS demandes, vous devez disposer de votre propre TLS certificatSSL/prêt dans AWS Certificate Manager (ACM) avant de configurer un nom de domaine personnalisé. Ces certificats doivent avoir un nom alternatif de sujet (SAN) ou un nom commun (CN) correspondant au nom de domaine personnalisé de votre service. Si le SAN est présent, nous vérifierons s'il y a une correspondance uniquement dans la SAN liste. En cas d'SANabsence, nous vérifierons s'il y a un match dans le CN.

VPCLattice répond HTTPS aux demandes en utilisant l'indication du nom du serveur (SNI). DNSachemine la HTTPS demande vers votre service VPC Lattice en fonction du nom de domaine personnalisé et du certificat correspondant à ce nom de domaine. Pour demander un TLS certificatSSL/pour un nom de domaine ACM ou en importer unACM, consultez la section Émission et gestion de certificats et importation de certificats dans le guide de AWS Certificate Manager l'utilisateur. Si vous ne pouvez pas demander ou importer votre propre certificatACM, utilisez le nom de domaine et le certificat générés par VPC Lattice.

VPCLattice n'accepte qu'un seul certificat personnalisé par service. Toutefois, vous pouvez utiliser un certificat personnalisé pour plusieurs domaines personnalisés. Cela signifie que vous pouvez utiliser le même certificat pour tous les services VPC Lattice que vous créez avec un nom de domaine personnalisé.

Pour consulter votre certificat à l'aide de la ACM console, ouvrez Certificats et sélectionnez l'ID de votre certificat. Vous devriez voir le service VPC Lattice associé à ce certificat sous Ressource associée.

Limites et considérations

  • VPCLattice autorise les correspondances génériques situées à un niveau du nom alternatif du sujet (SAN) ou du nom commun (CN) du certificat associé. Par exemple, si vous créez un service avec le nom de domaine personnalisé parking.example.com et associez votre propre certificat au SAN*.example.com. Lorsqu'une demande arriveparking.example.com, VPC Lattice fait correspondre le nom de domaine au domaine apex SAN à n'importe quel nom de domaineexample.com. Toutefois, si vous avez le domaine personnalisé parking.different.example.com et que votre certificat en possède un SAN*.example.com, la demande échoue.

  • VPCLattice prend en charge un niveau de correspondance de domaines génériques. Cela signifie qu'un caractère générique ne peut être utilisé que comme sous-domaine de premier niveau et qu'il ne sécurise qu'un seul niveau de sous-domaine. Par exemple, si votre certificat l'SANest*.example.com, il n'parking.*.example.comest pas pris en charge.

  • VPCLattice prend en charge un caractère générique par nom de domaine. Cela signifie que ce n'*.*.example.comest pas valide. Pour plus d'informations, consultez la section Demander un certificat public dans le guide de AWS Certificate Manager l'utilisateur.

  • VPCLattice ne prend en charge que les certificats dotés de clés de 2048 bitsRSA.

  • Le TLS certificatSSL/ACMdoit se trouver dans la même région que le service VPC Lattice auquel vous l'associez.

Sécurisation de la clé privée de votre certificat

Lorsque vous demandez une paire de SSL/TLS certificate using ACM, ACM generates a public/private clés. Lorsque vous importez un certificat, vous générez la paire de clés. La clé publique devient partie intégrante du certificat. Pour stocker la clé privée en toute sécurité, ACM créez une autre clé en utilisant AWS KMS, appelée KMS clé, l'alias aws/acm. AWS KMS utilise cette clé pour chiffrer la clé privée de votre certificat. Pour plus d'informations, consultez la section Protection des données AWS Certificate Manager dans le guide de AWS Certificate Manager l'utilisateur.

VPCLattice utilise AWS TLS Connection Manager, un service accessible uniquement à Services AWS, pour sécuriser et utiliser les clés privées de votre certificat. Lorsque vous utilisez votre ACM certificat pour créer un service VPC Lattice, VPC Lattice associe votre certificat à AWS TLS Connection Manager. Pour ce faire, nous créons une subvention associée AWS KMS à votre clé AWS gérée. Cette autorisation permet à TLS Connection Manager AWS KMS de déchiffrer la clé privée de votre certificat. TLSConnection Manager utilise le certificat et la clé privée déchiffrée (texte brut) pour établir une connexion sécurisée (SSL/TLSsession) avec les clients des services Lattice. VPC Lorsque le certificat est dissocié d'un service VPC Lattice, la subvention est retirée. Pour plus d'informations, consultez la section Subventions dans le guide du AWS Key Management Service développeur.

Pour de plus amples informations, veuillez consulter Chiffrement au repos.