Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Configura Connector per SCEP

Modalità Focus
Configura Connector per SCEP - AWS Private Certificate Authority

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le procedure in questa sezione consentono di iniziare a utilizzare Connector for SCEP. Si presuppone che tu abbia già creato un AWS account. Dopo aver completato i passaggi in questa pagina, puoi procedere con la creazione di un connettore per SCEP.

Fase 1: Creare una politica AWS Identity and Access Management

Per creare un connettore per SCEP, devi creare una policy IAM che conceda a Connector for SCEP la capacità di creare e gestire le risorse necessarie al connettore e di emettere certificati per tuo conto. Per ulteriori informazioni su IAM, consulta What is IAM? nella Guida per l'utente di IAM.

L'esempio seguente è una policy gestita dai clienti che puoi usare per Connector for SCEP.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "pca-connector-scep:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListCertificateAuthorities", "acm-pca:ListTags", "acm-pca:PutPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "acm-pca:IssueCertificate", "Resource": "*", "Condition": { "StringLike": { "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V*" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "pca-connector-scep.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ram:CreateResourceShare", "ram:GetResourcePolicies", "ram:GetResourceShareAssociations", "ram:GetResourceShares", "ram:ListPrincipals", "ram:ListResources", "ram:ListResourceSharePermissions", "ram:ListResourceTypes" ], "Resource": "*" } ] }

Fase 2: Creare una CA privata

Per utilizzare Connector for SCEP è necessario associare una CA privata da AWS Private Certificate Authority al connettore. Ti consigliamo di utilizzare una CA privata che riguardi solo il connettore, a causa delle vulnerabilità di sicurezza intrinseche presenti nel protocollo SCEP.

La CA privata deve soddisfare i seguenti requisiti:

  • Deve essere in uno stato attivo e utilizzare la modalità operativa generica.

  • È necessario possedere la CA privata. Non puoi utilizzare una CA privata che è stata condivisa con te tramite la condivisione tra account.

Tieni presente le seguenti considerazioni quando configuri la tua CA privata da utilizzare con Connector for SCEP:

Per informazioni su come creare una CA privata, vedereCrea una CA privata in AWS Private CA.

Passaggio 3: Creare una condivisione di risorse utilizzando AWS Resource Access Manager

Se utilizzi Connector for SCEP a livello di codice utilizzando l' AWS Command Line Interface API AWS SDK o Connector for SCEP, devi condividere la tua CA privata con Connector for SCEP utilizzando la condivisione principale del servizio. AWS Resource Access Manager In questo modo Connector for SCEP ha accesso condiviso alla tua CA privata. Quando crei un connettore nella AWS console, creiamo automaticamente la condivisione delle risorse per te. Per informazioni sulla condivisione delle risorse, consulta Creare una condivisione di risorse nella Guida AWS RAM per l'utente.

Per creare una condivisione di risorse utilizzando AWS CLI, è possibile utilizzare il AWS RAM create-resource-share comando. Il comando seguente crea una condivisione di risorse. Specificate l'ARN della CA privata di cui desiderate condividere il valore. resource-arns

$ aws ram create-resource-share \ --region us-east-1 \ --name MyPcaConnectorScepResourceShare \ --permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority \ --resource-arns arn:aws:acm-pca:Region:account:certificate-authority/CA_ID \ --principals pca-connector-scep.amazonaws.com \ --sources account

Il responsabile del servizio che chiama CreateConnector dispone delle autorizzazioni per l'emissione di certificati sulla CA privata. Per impedire ai responsabili del servizio che utilizzano Connector for SCEP di avere accesso generale alle tue CA privata AWS risorse, limita le loro autorizzazioni di utilizzo. CalledVia

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.