AWS Private CA Titik akhir VPC ()AWS PrivateLink - AWS Private Certificate Authority
Pertimbangan untuk titik akhir AWS Private CA VPCMembuat titik akhir VPC untuk AWS Private CAMembuat kebijakan titik akhir VPC untuk AWS Private CA

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Private CA Titik akhir VPC ()AWS PrivateLink

Anda dapat membuat koneksi pribadi antara VPC Anda dan AWS Private CA dengan mengonfigurasi titik akhir VPC antarmuka. Endpoint antarmuka didukung oleh AWS PrivateLink, sebuah teknologi untuk mengakses AWS Private CA operasi API secara pribadi. AWS PrivateLink merutekan semua lalu lintas jaringan antara VPC Anda dan AWS Private CA melalui jaringan Amazon, menghindari paparan di internet terbuka. Setiap titik akhir VPC diwakili oleh satu atau lebih antarmuka jaringan elastis dengan alamat IP pribadi di subnet VPC Anda.

Titik akhir VPC antarmuka menghubungkan VPC Anda secara langsung AWS Private CA tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan AWS Private CA API.

Untuk menggunakan AWS Private CA melalui VPC Anda, Anda harus terhubung dari instance yang ada di dalam VPC. Atau, Anda dapat menghubungkan jaringan pribadi Anda ke VPC Anda dengan menggunakan AWS Virtual Private Network (AWS VPN) atau. AWS Direct Connect Untuk selengkapnya AWS VPN, lihat Koneksi VPN di Panduan Pengguna Amazon VPC. Untuk selengkapnya AWS Direct Connect, lihat Membuat Sambungan di Panduan AWS Direct Connect Pengguna.

AWS Private CA tidak memerlukan penggunaan AWS PrivateLink, tetapi kami merekomendasikannya sebagai lapisan keamanan tambahan. Untuk informasi selengkapnya tentang AWS PrivateLink dan titik akhir VPC, lihat Mengakses Layanan Melalui. AWS PrivateLink

Pertimbangan untuk titik akhir AWS Private CA VPC

Sebelum Anda mengatur titik akhir VPC antarmuka untuk AWS Private CA, perhatikan pertimbangan berikut:

  • AWS Private CA mungkin tidak mendukung titik akhir VPC di beberapa Availability Zone. Saat Anda membuat VPC endpoint, periksa terlebih dahulu dukungan di konsol manajemen. Availability Zone yang tidak didukung ditandai "Layanan tidak didukung di Availability Zone ini".

  • VPC endpoint saat ini tidak mendukung permintaan lintas Wilayah. Pastikan bahwa Anda membuat titik akhir Anda di Wilayah yang sama tempat Anda berencana untuk mengeluarkan panggilan API ke AWS Private CA.

  • VPC endpoint hanya support Amazon yang disediakan DNS melalui Amazon Route 53. Jika Anda ingin menggunakan DNS Anda sendiri, Anda dapat menggunakan penerusan DNS bersyarat. Untuk informasi selengkapnya, lihat Pengaturan DHCP dalam Panduan Pengguna Amazon VPC.

  • Grup keamanan yang dilampirkan ke VPC endpoint harus mengizinkan koneksi masuk pada port 443 dari subnet privat VPC.

  • AWS Certificate Manager tidak mendukung titik akhir VPC.

  • Endpoint FIPS (dan Wilayah mereka) tidak mendukung VPC endpoint.

AWS Private CA API saat ini mendukung titik akhir VPC sebagai berikut: Wilayah AWS

  • AS Timur (Ohio)

  • AS Timur (Virginia Utara)

  • AS Barat (California Utara)

  • AS Barat (Oregon)

  • Afrika (Cape Town)

  • Asia Pasifik (Hong Kong)

  • Asia Pasifik (Mumbai)

  • Asia Pasifik (Osaka)

  • Asia Pasifik (Seoul)

  • Asia Pasifik (Singapura)

  • Asia Pasifik (Sydney)

  • Asia Pasifik (Tokyo)

  • Kanada (Pusat)

  • Eropa (Frankfurt)

  • Eropa (Irlandia)

  • Eropa (London)

  • Eropa (Paris)

  • Eropa (Stockholm)

  • Eropa (Milan)

  • Israel (Tel Aviv)

  • Timur Tengah (Bahrain)

  • Amerika Selatan (Sao Paulo)

Membuat titik akhir VPC untuk AWS Private CA

Anda dapat membuat titik akhir VPC untuk AWS Private CA layanan menggunakan konsol VPC di https://console.aws.amazon.com/vpc/ atau. AWS Command Line Interface Untuk informasi selengkapnya, lihat prosedur Membuat Titik Akhir Antarmuka di Panduan Pengguna Amazon VPC. AWS Private CA mendukung panggilan ke semua operasi API di dalam VPC Anda.

Jika Anda telah mengaktifkan nama host DNS pribadi untuk titik akhir, maka titik akhir default sekarang akan diselesaikan ke AWS Private CA titik akhir VPC Anda. Untuk daftar lengkap titik akhir layanan default, lihat Titik Akhir dan Kuota Layanan.

Jika Anda belum mengaktifkan nama host DNS privat, Amazon VPC menyediakan nama titik akhir DNS yang dapat Anda gunakan dalam format berikut:

vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
catatan

Wilayah nilai mewakili pengenal Wilayah untuk AWS Wilayah yang didukung oleh AWS Private CA, seperti us-east-2 untuk Wilayah Timur AS (Ohio). Untuk daftar AWS Private CA, lihat AWS Certificate Manager Private Certificate Authority Endpoints and Quotas.

Untuk informasi selengkapnya, lihat Titik akhir AWS Private CA VPC (AWS PrivateLink) di Panduan Pengguna Amazon VPC.

Anda dapat membuat kebijakan untuk titik akhir VPC Amazon AWS Private CA untuk menentukan hal berikut:

  • Prinsip-prinsip yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan

  • Sumber daya yang dapat digunakan untuk mengambil tindakan

Untuk informasi selengkapnya, lihat Mengendalikan Akses ke Layanan dengan Titik Akhir VPC dalam Panduan Pengguna Amazon VPC.

Contoh - Kebijakan titik akhir VPC untuk tindakan AWS Private CA

Ketika dilampirkan ke titik akhir, kebijakan berikut memberikan akses untuk semua prinsipal untuk AWS Private CA tindakanIssueCertificate,,,,DescribeCertificateAuthority, GetCertificate dan. GetCertificateAuthorityCertificate ListPermissions ListTags Sumber daya di setiap bait adalah CA privat. Bait pertama mengizinkan pembuatan sertifikat entitas akhir menggunakan CA privat dan templat sertifikat yang ditentukan. Jika Anda tidak ingin mengontrol templat yang digunakan, bagian Condition tidak diperlukan. Namun, menghapus ini memungkinkan semua entitas keamanan untuk membuat sertifikat CA serta sertifikat entitas akhir.

{
      "Statement":[
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:IssueCertificate"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ],
            "Condition":{
               "StringEquals":{
                  "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
               }
            }
         },
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:DescribeCertificateAuthority",
               "acm-pca:GetCertificate",
               "acm-pca:GetCertificateAuthorityCertificate",
               "acm-pca:ListPermissions",
               "acm-pca:ListTags"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ]
         }
      ]
   }