AWS Private CA VPCtitik akhir ()AWS PrivateLink - AWS Private Certificate Authority
Pertimbangan untuk titik akhir AWS Private CA VPCMembuat VPC titik akhir untuk AWS Private CAMembuat kebijakan VPC endpoint untuk AWS Private CA

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Private CA VPCtitik akhir ()AWS PrivateLink

Anda dapat membuat koneksi pribadi antara Anda VPC dan AWS Private CA dengan mengonfigurasi titik VPC akhir antarmuka. Endpoint antarmuka didukung oleh AWS PrivateLink, teknologi untuk mengakses AWS Private CA API operasi secara pribadi. AWS PrivateLink merutekan semua lalu lintas jaringan antara Anda VPC dan AWS Private CA melalui jaringan Amazon, menghindari paparan di internet terbuka. Setiap VPC titik akhir diwakili oleh satu atau lebih antarmuka jaringan elastis dengan alamat IP pribadi di subnet AndaVPC.

VPCEndpoint antarmuka menghubungkan VPC langsung Anda AWS Private CA tanpa gateway internet, NAT perangkat, VPN koneksi, atau AWS Direct Connect koneksi. Contoh di Anda VPC tidak memerlukan alamat IP publik untuk berkomunikasi dengan. AWS Private CA API

Untuk menggunakan AWS Private CA melalui AndaVPC, Anda harus terhubung dari instance yang ada di dalamVPC. Atau, Anda dapat menghubungkan jaringan pribadi Anda ke jaringan Anda VPC dengan menggunakan AWS Virtual Private Network (AWS VPN) atau AWS Direct Connect. Untuk selengkapnya AWS VPN, lihat VPNKoneksi di Panduan VPC Pengguna Amazon. Untuk selengkapnya AWS Direct Connect, lihat Membuat Sambungan di Panduan AWS Direct Connect Pengguna.

AWS Private CA tidak memerlukan penggunaan AWS PrivateLink, tetapi kami merekomendasikannya sebagai lapisan keamanan tambahan. Untuk informasi selengkapnya tentang AWS PrivateLink dan VPC titik akhir, lihat Mengakses Layanan Melalui. AWS PrivateLink

Pertimbangan untuk titik akhir AWS Private CA VPC

Sebelum Anda mengatur VPC titik akhir antarmuka AWS Private CA, perhatikan pertimbangan berikut:

  • AWS Private CA mungkin tidak mendukung VPC titik akhir di beberapa Availability Zone. Saat Anda membuat VPC titik akhir, periksa dulu dukungan di konsol manajemen. Availability Zone yang tidak didukung ditandai "Layanan tidak didukung di Availability Zone ini".

  • VPCendpoint tidak mendukung permintaan lintas wilayah. Pastikan Anda membuat titik akhir di Wilayah yang sama tempat Anda berencana untuk mengeluarkan API panggilan Anda. AWS Private CA

  • VPCendpoint hanya mendukung Amazon yang disediakan DNS melalui Amazon Route 53. Jika Anda ingin menggunakan milik Anda sendiriDNS, Anda dapat menggunakan DNS penerusan bersyarat. Untuk informasi selengkapnya, lihat Set DHCP Opsi di Panduan VPC Pengguna Amazon.

  • Grup keamanan yang terpasang pada VPC titik akhir harus mengizinkan koneksi masuk pada port 443 dari subnet pribadi. VPC

  • AWS Certificate Manager tidak mendukung VPC titik akhir.

  • FIPStitik akhir (dan Wilayahnya) tidak mendukung titik VPC akhir.

AWS Private CA APIsaat ini mendukung VPC titik akhir sebagai berikut: Wilayah AWS

  • AS Timur (Ohio)

  • AS Timur (Virginia Utara)

  • AS Barat (California Utara)

  • AS Barat (Oregon)

  • Afrika (Cape Town)

  • Asia Pasifik (Hong Kong)

  • Asia Pasifik (Hyderabad)

  • Asia Pasifik (Jakarta)

  • Asia Pasifik (Melbourne)

  • Asia Pasifik (Mumbai)

  • Asia Pasifik (Osaka)

  • Asia Pasifik (Seoul)

  • Asia Pasifik (Singapura)

  • Asia Pasifik (Sydney)

  • Asia Pasifik (Tokyo)

  • (Canada (Central)

  • Kanada Barat (Calgary)

  • Eropa (Frankfurt)

  • Eropa (Irlandia)

  • Eropa (London)

  • Eropa (Milan)

  • Eropa (Paris)

  • Eropa (Spanyol)

  • Eropa (Stockholm)

  • Eropa (Zürich)

  • Israel (Tel Aviv)

  • Timur Tengah (Bahrain)

  • Timur Tengah (UAE)

  • Amerika Selatan (Sao Paulo)

Membuat VPC titik akhir untuk AWS Private CA

Anda dapat membuat VPC titik akhir untuk AWS Private CA layanan menggunakan VPC konsol di https://console.aws.amazon.com/vpc/atau. AWS Command Line Interface Untuk informasi selengkapnya, lihat prosedur Membuat Titik Akhir Antarmuka di Panduan VPC Pengguna Amazon. AWS Private CA mendukung membuat panggilan ke semua API operasinya di dalam AndaVPC.

Jika Anda telah mengaktifkan nama DNS host pribadi untuk titik akhir, maka titik akhir default sekarang akan diselesaikan ke AWS Private CA titik akhir Anda. VPC Untuk daftar lengkap titik akhir layanan default, lihat Titik Akhir dan Kuota Layanan.

Jika Anda belum mengaktifkan nama DNS host pribadi, Amazon VPC menyediakan nama DNS endpoint yang dapat Anda gunakan dalam format berikut:

vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
catatan

Nilai region mewakili pengenal Wilayah untuk AWS Wilayah yang didukung oleh AWS Private CA, seperti us-east-2 untuk Wilayah Timur AS (Ohio). Untuk daftar AWS Private CA, lihat AWS Certificate Manager Private Certificate Authority Endpoints and Quotas.

Untuk informasi selengkapnya, lihat AWS Private CA VPCtitik akhir (AWS PrivateLink) di Panduan VPC Pengguna Amazon.

Anda dapat membuat kebijakan untuk VPC titik akhir Amazon AWS Private CA untuk menentukan hal berikut:

  • Prinsip-prinsip yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan

  • Sumber daya yang padanya tindakan dapat dilakukan

Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan VPC Titik Akhir di Panduan VPC Pengguna Amazon.

Contoh — kebijakan VPC titik akhir untuk tindakan AWS Private CA

Ketika dilampirkan ke titik akhir, kebijakan berikut memberikan akses untuk semua prinsipal untuk AWS Private CA tindakanIssueCertificate,,,,DescribeCertificateAuthority, GetCertificate dan. GetCertificateAuthorityCertificate ListPermissions ListTags Sumber daya di setiap bait adalah CA privat. Bait pertama mengizinkan pembuatan sertifikat entitas akhir menggunakan CA privat dan templat sertifikat yang ditentukan. Jika Anda tidak ingin mengontrol templat yang digunakan, bagian Condition tidak diperlukan. Namun, menghapus ini memungkinkan semua entitas keamanan untuk membuat sertifikat CA serta sertifikat entitas akhir.

{
      "Statement":[
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:IssueCertificate"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ],
            "Condition":{
               "StringEquals":{
                  "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
               }
            }
         },
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:DescribeCertificateAuthority",
               "acm-pca:GetCertificate",
               "acm-pca:GetCertificateAuthorityCertificate",
               "acm-pca:ListPermissions",
               "acm-pca:ListTags"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ]
         }
      ]
   }