CA privata AWS Endpoint VPC ()AWS PrivateLink - AWS Private Certificate Authority
Considerazioni sugli endpoint CA privata AWS VPCCreazione degli endpoint VPC per CA privata AWSCreazione di una policy di endpoint VPC per CA privata AWS.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

CA privata AWS Endpoint VPC ()AWS PrivateLink

Puoi creare una connessione privata tra il tuo VPC e CA privata AWS configurando un endpoint VPC di interfaccia. Gli endpoint di interfaccia sono basati su una tecnologia per AWS PrivateLinkl'accesso privato alle operazioni API. CA privata AWS AWS PrivateLink indirizza tutto il traffico di rete tra il tuo VPC e CA privata AWS attraverso la rete Amazon, evitando l'esposizione su Internet aperto. Ogni endpoint VPC è rappresentato da una o più interfacce di rete elastiche con indirizzi IP privati nelle sottoreti del VPC.

L'interfaccia VPC endpoint collega il tuo VPC direttamente CA privata AWS senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze del tuo VPC non necessitano di indirizzi IP pubblici per comunicare con CA privata AWS l'API.

Per utilizzarlo CA privata AWS tramite il tuo VPC, devi connetterti da un'istanza che si trova all'interno del VPC. In alternativa, puoi connettere la tua rete privata al tuo VPC utilizzando un AWS Virtual Private Network (AWS VPN) o. AWS Direct Connect Per informazioni in merito AWS VPN, consulta Connessioni VPN nella Guida per l'utente di Amazon VPC. Per informazioni su AWS Direct Connect, consulta Creazione di una connessione nella Guida per l'AWS Direct Connect utente.

CA privata AWS non richiede l'uso di AWS PrivateLink, ma lo consigliamo come ulteriore livello di sicurezza. Per ulteriori informazioni sugli AWS PrivateLink endpoint VPC, consulta Accesso ai servizi tramite. AWS PrivateLink

Considerazioni sugli endpoint CA privata AWS VPC

Prima di configurare gli endpoint VPC dell'interfaccia per CA privata AWS, tieni presente le seguenti considerazioni:

  • CA privata AWS potrebbe non supportare gli endpoint VPC in alcune zone di disponibilità. Quando crei un endpoint VPC, verifica innanzitutto il supporto nella console di gestione. Le zone di disponibilità non supportate sono contrassegnate come «Servizio non supportato in questa zona di disponibilità».

  • Gli endpoint VPC non supportano le richieste tra regioni. Assicurati di creare l'endpoint nella stessa regione in cui prevedi di inviare le chiamate API a CA privata AWS.

  • Gli endpoint VPC supportano solo il DNS fornito da Amazon tramite Amazon Route 53. Se si desidera utilizzare il proprio DNS, è possibile usare l'inoltro condizionale sul DNS. Per ulteriori informazioni, consulta Set opzioni DHCP nella Guida per l'utente di Amazon VPC.

  • Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta 443 dalla sottorete privata del VPC.

  • AWS Certificate Manager non supporta gli endpoint VPC.

  • Gli endpoint FIPS (e le relative aree) non supportano gli endpoint VPC.

CA privata AWS L'API attualmente supporta gli endpoint VPC nei seguenti casi: Regioni AWS

  • Stati Uniti orientali (Ohio)

  • Stati Uniti orientali (Virginia settentrionale)

  • Stati Uniti occidentali (California settentrionale)

  • Stati Uniti occidentali (Oregon)

  • Africa (Città del Capo)

  • Asia Pacific (Hong Kong)

  • Asia Pacific (Mumbai)

  • Asia Pacific (Osaka)

  • Asia Pacific (Seul)

  • Asia Pacifico (Singapore)

  • Asia Pacifico (Sydney)

  • Asia Pacifico (Tokyo)

  • Canada (Centrale)

  • Europa (Francoforte)

  • Europa (Irlanda)

  • Europe (London)

  • Europe (Paris)

  • Europe (Stockholm)

  • Europa (Milano)

  • Israele (Tel Aviv)

  • Medio Oriente (Bahrein)

  • Sud America (San Paolo)

Creazione degli endpoint VPC per CA privata AWS

Puoi creare un endpoint VPC per il CA privata AWS servizio utilizzando la console VPC all'indirizzo https://console.aws.amazon.com/vpc/ oppure il. AWS Command Line Interface Per ulteriori informazioni, consulta la procedura Creating an Interface Endpoint nella Amazon VPC User Guide. CA privata AWS supporta l'effettuazione di chiamate a tutte le sue operazioni API all'interno del tuo VPC.

Se hai abilitato i nomi host DNS privati per l'endpoint, l'endpoint predefinito ora si risolve nel tuo CA privata AWS endpoint VPC. Per un elenco completo degli endpoint di servizio predefiniti, consulta Endpoint e quote del servizio.

Se non hai abilitato i nomi host DNS privati, Amazon VPC fornisce un nome di endpoint DNS che puoi utilizzare nel seguente formato:

vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
Nota

La regione di valore rappresenta l'identificatore di regione per una regione supportata da CA privata AWS, ad esempio us-east-2 per la AWS regione Stati Uniti orientali (Ohio). Per un elenco di CA privata AWS, consulta AWS Certificate Manager Private Certificate Authority Endpoints and Quotas.

Per ulteriori informazioni, consulta CA privata AWS VPC endpoints (AWS PrivateLink) nella Amazon VPC User Guide.

Puoi creare una policy per gli endpoint Amazon VPC CA privata AWS per specificare quanto segue:

  • Il principale che può eseguire operazioni.

  • Le azioni che possono essere eseguite

  • Le risorse sui cui si possono eseguire le azioni

Per ulteriori informazioni, consultare Controllo degli accessi ai servizi con endpoint VPC nella Guida per l'utente di Amazon VPC.

Esempio: policy degli endpoint VPC per le azioni CA privata AWS

Se collegata a un endpoint, la seguente politica consente a tutti i principali di accedere alle CA privata AWS azioniIssueCertificate,,,DescribeCertificateAuthority, GetCertificate e. GetCertificateAuthorityCertificate ListPermissions ListTags La risorsa in ogni stanza è una CA privata. La prima stanza autorizza la creazione di certificati di entità finale utilizzando la CA privata e il modello di certificato specificati. Se non si desidera controllare il modello utilizzato, la sezione Condition non è necessaria. Tuttavia, la rimozione di questo consente a tutte le entità di creare certificati emessi da una CA e certificati di entità finale.

{
      "Statement":[
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:IssueCertificate"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ],
            "Condition":{
               "StringEquals":{
                  "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
               }
            }
         },
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:DescribeCertificateAuthority",
               "acm-pca:GetCertificate",
               "acm-pca:GetCertificateAuthorityCertificate",
               "acm-pca:ListPermissions",
               "acm-pca:ListTags"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ]
         }
      ]
   }