Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Prosedur di bagian ini membantu Anda memulai dengan Connector for SCEP. Ini mengasumsikan bahwa Anda telah membuat AWS akun. Setelah Anda menyelesaikan langkah-langkah di halaman ini, Anda dapat melanjutkan dengan membuat konektor untuk SCEP.
Topik
Langkah 1: Buat AWS Identity and Access Management kebijakan
Untuk membuat konektor untuk SCEP, Anda perlu membuat kebijakan IAM yang memberi Konektor untuk SCEP kemampuan untuk membuat dan mengelola sumber daya yang dibutuhkan oleh konektor, dan menerbitkan sertifikat atas nama Anda. Untuk informasi lebih lanjut tentang IAM lihat Apa itu IAM? di Panduan Pengguna IAM.
Contoh berikut adalah kebijakan yang dikelola pelanggan yang dapat Anda gunakan untuk Connector for SCEP.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "pca-connector-scep:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListCertificateAuthorities",
"acm-pca:ListTags",
"acm-pca:PutPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "acm-pca:IssueCertificate",
"Resource": "*",
"Condition": {
"StringLike": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V*"
},
"ForAnyValue:StringEquals": {
"aws:CalledVia": "pca-connector-scep.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ram:CreateResourceShare",
"ram:GetResourcePolicies",
"ram:GetResourceShareAssociations",
"ram:GetResourceShares",
"ram:ListPrincipals",
"ram:ListResources",
"ram:ListResourceSharePermissions",
"ram:ListResourceTypes"
],
"Resource": "*"
}
]
}Langkah 2: Buat CA pribadi
Untuk menggunakan Konektor untuk SCEP, Anda perlu mengaitkan CA pribadi dari AWS Private Certificate Authority ke konektor. Kami menyarankan Anda menggunakan CA pribadi yang hanya untuk konektor, karena kerentanan keamanan yang melekat yang ada dalam protokol SCEP.
CA pribadi harus memenuhi persyaratan berikut:
Itu harus dalam keadaan aktif dan menggunakan mode operasi tujuan umum.
Anda harus memiliki CA pribadi. Anda tidak dapat menggunakan CA pribadi yang dibagikan dengan Anda melalui berbagi lintas akun.
Perhatikan pertimbangan berikut saat mengonfigurasi CA pribadi Anda untuk digunakan dengan Connector for SCEP:
Kendala nama DNS — Pertimbangkan untuk menggunakan batasan nama DNS sebagai cara untuk mengontrol domain mana yang diizinkan atau dilarang dalam sertifikat yang dikeluarkan untuk perangkat SCEP Anda. Untuk informasi selengkapnya, lihat Cara menerapkan batasan nama DNS
di. AWS Private Certificate Authority Pencabutan - Aktifkan OCSP atau CRLs CA pribadi Anda untuk memungkinkan pencabutan. Untuk informasi selengkapnya, lihat Rencanakan metode pencabutan AWS Private CA sertifikat Anda.
PII — Kami menyarankan agar Anda tidak menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam sertifikat CA Anda. Jika terjadi eksploitasi keamanan, ini membantu membatasi paparan informasi sensitif.
Simpan sertifikat root di toko kepercayaan — Simpan sertifikat CA root Anda di toko kepercayaan perangkat Anda, sehingga Anda dapat memverifikasi sertifikat dan nilai pengembalian GetCertificateAuthorityCertificate. Untuk informasi tentang toko kepercayaan yang terkait dengannya AWS Private CA, lihatCA akar .
Untuk informasi tentang cara membuat CA pribadi, lihatBuat CA pribadi di AWS Private CA.
Langkah 3: Buat berbagi sumber daya menggunakan AWS Resource Access Manager
Jika Anda menggunakan Connector for SCEP secara terprogram menggunakan AWS Command Line Interface, AWS SDK, atau Connector for SCEP API, Anda perlu membagikan CA pribadi Anda dengan Connector for SCEP dengan menggunakan berbagi prinsip layanan. AWS Resource Access Manager Ini memberikan Konektor untuk SCEP akses bersama ke CA pribadi Anda. Saat Anda membuat konektor di AWS konsol, kami secara otomatis membuat pembagian sumber daya untuk Anda. Untuk informasi tentang berbagi sumber daya, lihat Membuat pembagian sumber daya di Panduan AWS RAM Pengguna.
Untuk membuat berbagi sumber daya menggunakan AWS CLI, Anda dapat menggunakan AWS RAM create-resource-share perintah. Perintah berikut menciptakan berbagi sumber daya. Tentukan ARN CA pribadi yang ingin Anda bagikan sebagai nilainya. resource-arns
$aws ram create-resource-share \ --regionus-east-1\ --nameMyPcaConnectorScepResourceShare\ --permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority \ --resource-arns arn:aws:acm-pca:Region:account:certificate-authority/CA_ID\ --principals pca-connector-scep.amazonaws.com \ --sourcesaccount
Prinsipal layanan yang menelepon CreateConnector memiliki izin penerbitan sertifikat pada CA pribadi. Untuk mencegah prinsip layanan yang menggunakan Connector for SCEP memiliki akses umum ke AWS Private CA sumber daya Anda, batasi izin mereka menggunakan. CalledVia
