AWS Private CA VPC エンドポイント (AWS PrivateLink) - AWS Private Certificate Authority
AWS Private CA VPC エンドポイントに関する考慮事項AWS Private CA用の VPC エンドポイントの作成AWS Private CA用の VPC エンドポイントポリシーを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Private CA VPC エンドポイント (AWS PrivateLink)

インターフェイス VPC エンドポイントを設定 AWS Private CA することで、VPC と の間にプライベート接続を作成できます。インターフェイスエンドポイントはAWS PrivateLink、 AWS Private CA API オペレーションにプライベートにアクセスするためのテクノロジーである を利用しています。 は、VPC と Amazon ネットワーク間のすべてのネットワークトラフィックを AWS PrivateLink ルーティングし AWS Private CA 、オープンインターネットでの露出を回避します。各 VPC エンドポイントは、VPC サブネット内の 1 つ以上の Elastic Network Interface とプライベート IP アドレスで表されます。

インターフェイス VPC エンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続 AWS Private CA なしで、VPC を直接 に接続します。VPC のインスタンスは、パブリック IP アドレスがなくても AWS Private CA API と通信できます。

VPC AWS Private CA 経由で を使用するには、VPC 内のインスタンスから接続する必要があります。または、 AWS Virtual Private Network (AWS VPN) または を使用して、プライベートネットワークを VPC に接続することもできます AWS Direct Connect。詳細については AWS VPN、「Amazon VPC ユーザーガイド」の「VPN 接続」を参照してください。詳細については AWS Direct Connect、「 AWS Direct Connect ユーザーガイド」の「接続の作成」を参照してください。

AWS Private CA は を使用する必要はありませんが AWS PrivateLink、追加のセキュリティレイヤーとしてお勧めします。 AWS PrivateLink および VPC エンドポイントの詳細については、「 を介した サービスへのアクセス AWS PrivateLink」を参照してください。

AWS Private CA VPC エンドポイントに関する考慮事項

のインターフェイス VPC エンドポイントを設定する前に AWS Private CA、次の考慮事項に注意してください。

  • AWS Private CA 一部のアベイラビリティーゾーンでは、 が VPC エンドポイントをサポートしていない場合があります。VPC エンドポイントを作成するときは、まず管理コンソールでサポートを確認してください。サポートされていないアベイラビリティーゾーンには「このアベイラビリティーゾーンではサポートされていないサービス」とマークされます。

  • VPC エンドポイントはクロスリージョンリクエストをサポートしていません。 AWS Private CAに対して API コールを発行するリージョンと同じリージョンにエンドポイントを作成してください。​

  • VPC エンドポイントでは、Amazon Route 53 を介して Amazon 提供の DNS のみがサポートされています。独自の DNS を使用したい場合は、条件付き DNS 転送を使用できます。詳細については、Amazon VPC ユーザーガイドDHCP Options Setsを参照してください。

  • VPCエンドポイントにアタッチされたセキュリティグループでは、VPCのプライベートサブネットから、ポート 443 で着信接続を許可する必要があります。

  • AWS Certificate Manager は VPC エンドポイントをサポートしていません。

  • FIPS エンドポイント (およびそのリージョン) は VPC エンドポイントをサポートしていません。

AWS Private CA API は現在、以下の VPC エンドポイントをサポートしています AWS リージョン。

  • 米国東部(オハイオ)

  • 米国東部 (バージニア北部)

  • 米国西部 (北カリフォルニア)

  • 米国西部 (オレゴン)

  • アフリカ (ケープタウン)

  • アジアパシフィック (香港)

  • アジアパシフィック (ハイデラバード)

  • アジアパシフィック (ジャカルタ)

  • アジアパシフィック (メルボルン)

  • アジアパシフィック (ムンバイ)

  • アジアパシフィック (大阪)

  • アジアパシフィック (ソウル)

  • アジアパシフィック (シンガポール)

  • アジアパシフィック (シドニー)

  • アジアパシフィック (東京)

  • カナダ (中部)

  • カナダ西部 (カルガリー)

  • 欧州 (フランクフルト)

  • 欧州 (アイルランド)

  • 欧州 (ロンドン)

  • 欧州 (ミラノ)

  • 欧州 (パリ)

  • 欧州 (スペイン)

  • 欧州 (ストックホルム)

  • 欧州 (チューリッヒ)

  • イスラエル (テルアビブ)

  • 中東 (バーレーン)

  • 中東 (UAE)

  • 南米 (サンパウロ)

AWS Private CA用の VPC エンドポイントの作成

AWS Private CA サービスの VPC エンドポイントは、https://console.aws.amazon.com/vpc/ の VPC コンソールまたは を使用して作成できます AWS Command Line Interface。詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントの作成」の手順を参照してください。 は、VPC 内のすべての API オペレーションの呼び出し AWS Private CA をサポートしています。

エンドポイントのプライベート DNS ホスト名を有効にすると、デフォルトの AWS Private CA エンドポイントはお客様の VPC エンドポイントに解決されます。デフォルトのサービスエンドポイントの詳しい一覧については、「サービスエンドポイントとクォータ」を参照してください。

プライベート DNS ホスト名を有効にしていない場合、Amazon VPC は次の形式で使用できる DNS エンドポイント名を提供します。

vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
注記

リージョンは、米国東部 (オハイオ) リージョンの など AWS Private CA、 でサポートされている AWS リージョンus-east-2のリージョン識別子を表します。のリストについては AWS Private CA、AWS 「 Certificate Manager プライベート認証機関のエンドポイントとクォータ」を参照してください。

詳細については、「Amazon AWS Private CA VPC ユーザーガイド」の「VPC エンドポイント (AWS PrivateLink)」を参照してください。

の Amazon VPC エンドポイントのポリシーを作成して AWS Private CA 、以下を指定できます。

  • アクションを実行できるプリンシパル

  • 実行可能なアクション

  • アクションを実行できるリソース

詳細については、Amazon VPC ユーザーガイドの「VPC エンドポイントによるサービスのアクセスコントロール」を参照してください。

例 – AWS Private CA アクションの VPC エンドポイントポリシー

エンドポイントにアタッチされると、次のポリシーにより、すべてのプリンシパルに AWS Private CA アクション IssueCertificate、、DescribeCertificateAuthorityGetCertificateGetCertificateAuthorityCertificateListPermissions、および へのアクセスが許可されますListTags。各スタンザのリソースはプライベート CA です。最初のスタンザは、指定されたプライベート CA と証明書テンプレートを使用して、エンドエンティティ証明書の作成を許可します。使用するテンプレートを制御しない場合、Condition セクションは必要ありません。ただし、これを削除すると、すべてのプリンシパルが CA 認定とエンドエンティティ証明書を交付できるようになります。

{
      "Statement":[
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:IssueCertificate"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ],
            "Condition":{
               "StringEquals":{
                  "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
               }
            }
         },
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:DescribeCertificateAuthority",
               "acm-pca:GetCertificate",
               "acm-pca:GetCertificateAuthorityCertificate",
               "acm-pca:ListPermissions",
               "acm-pca:ListTags"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ]
         }
      ]
   }