AWS Private CA VPC エンドポイント (AWS PrivateLink) - AWS Private Certificate Authority
エンドポイントに関する AWS Private CA VPC考慮事項のVPCエンドポイントの作成 AWS Private CAのVPCエンドポイントポリシーを作成する AWS Private CA

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Private CA VPC エンドポイント (AWS PrivateLink)

インターフェイスVPCエンドポイントを設定 AWS Private CA することで、 VPCと の間にプライベート接続を作成できます。インターフェイスエンドポイントはAWS PrivateLink、 オペレーションにプライベートにアクセス AWS Private CA APIするためのテクノロジーである を利用しています。 は、 VPC と AWS Private CA Amazon ネットワーク間のすべてのネットワークトラフィックを AWS PrivateLink ルーティングし、オープンインターネットでの露出を回避します。各VPCエンドポイントは、VPCサブネット内のプライベート IP アドレスを持つ 1 つ以上の Elastic Network Interface で表されます。

インターフェイスVPCエンドポイントは、インターネットゲートウェイ、NATデバイス、VPN接続、または接続 AWS Private CA なしで VPCに直接 AWS Direct Connect 接続します。のインスタンスは、パブリック IP アドレスがVPCなくても と通信できます AWS Private CA API。

AWS Private CA を介して を使用するにはVPC、 内のインスタンスから接続する必要がありますVPC。または、 AWS Virtual Private Network (AWS VPN) または VPCを使用して、プライベートネットワークを に接続することもできます AWS Direct Connect。の詳細については AWS VPN、「Amazon VPCユーザーガイドVPN」の「接続」を参照してください。の詳細については AWS Direct Connect、「 ユーザーガイド」の「接続の作成AWS Direct Connect 」を参照してください。

AWS Private CA は を使用する必要はありませんが AWS PrivateLink、セキュリティの追加レイヤーとしてお勧めします。 AWS PrivateLink および VPCエンドポイントの詳細については、「 を介した サービスへのアクセス AWS PrivateLink」を参照してください。

エンドポイントに関する AWS Private CA VPC考慮事項

のインターフェイスVPCエンドポイントを設定する前に AWS Private CA、次の考慮事項に注意してください。

  • AWS Private CA は、一部のアベイラビリティーゾーンのVPCエンドポイントをサポートしていない場合があります。VPC エンドポイントを作成するときは、まず マネジメントコンソールでサポートを確認します。サポートされていないアベイラビリティーゾーンには「このアベイラビリティーゾーンではサポートされていないサービス」とマークされます。

  • VPC エンドポイントはクロスリージョンリクエストをサポートしていません。へのAPI呼び出しを発行する予定のリージョンと同じリージョンにエンドポイントを作成してください AWS Private CA。

  • VPC エンドポイントは、Amazon Route 53 DNSを通じて提供される Amazon のみをサポートします。独自の を使用する場合はDNS、条件付きDNS転送を使用できます。詳細については、「Amazon VPCユーザーガイドDHCP」の「オプションセット」を参照してください。

  • VPC エンドポイントにアタッチされたセキュリティグループは、 のプライベートサブネットからのポート 443 での受信接続を許可する必要がありますVPC。

  • AWS Certificate Manager はVPCエンドポイントをサポートしていません。

  • FIPS エンドポイント (およびそのリージョン) はVPCエンドポイントをサポートしていません。

AWS Private CA API は現在、次の でVPCエンドポイントをサポートしています AWS リージョン。

  • 米国東部(オハイオ)

  • 米国東部 (バージニア北部)

  • 米国西部 (北カリフォルニア)

  • 米国西部 (オレゴン)

  • アフリカ (ケープタウン)

  • アジアパシフィック (香港)

  • アジアパシフィック (ハイデラバード)

  • アジアパシフィック (ジャカルタ)

  • アジアパシフィック (メルボルン)

  • アジアパシフィック (ムンバイ)

  • アジアパシフィック (大阪)

  • アジアパシフィック (ソウル)

  • アジアパシフィック (シンガポール)

  • アジアパシフィック (シドニー)

  • アジアパシフィック (東京)

  • カナダ (中部)

  • カナダ西部 (カルガリー)

  • 欧州 (フランクフルト)

  • 欧州 (アイルランド)

  • 欧州 (ロンドン)

  • 欧州 (ミラノ)

  • 欧州 (パリ)

  • 欧州 (スペイン)

  • 欧州 (ストックホルム)

  • 欧州 (チューリッヒ)

  • イスラエル (テルアビブ)

  • 中東 (バーレーン)

  • 中東 (UAE)

  • 南米 (サンパウロ)

のVPCエンドポイントの作成 AWS Private CA

AWS Private CA サービスのVPCエンドポイントは、 のVPCコンソールhttps://console.aws.amazon.com/vpc/または を使用して作成できます AWS Command Line Interface。詳細については、「Amazon ユーザーガイド」の「インターフェイスエンドポイントの作成」の手順を参照してください。 は、 内のすべてのAPIオペレーションへの呼び出し AWS Private CA をサポートしていますVPC。 VPC

エンドポイントのプライベートDNSホスト名を有効にしている場合、デフォルトの AWS Private CA エンドポイントがVPCエンドポイントに解決されるようになりました。デフォルトのサービスエンドポイントの詳しい一覧については、「サービスエンドポイントとクォータ」を参照してください。

プライベートDNSホスト名を有効にしていない場合、Amazon VPCは次の形式で使用できるDNSエンドポイント名を提供します。

vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
注記

値。region は、米国東部 (オハイオ) AWS リージョンの など AWS Private CA、 でサポートされている リージョンus-east-2のリージョン識別子を表します。のリストについては AWS Private CA、AWS 「 Certificate Manager プライベート認証機関のエンドポイントとクォータ」を参照してください。

詳細については、「Amazon ユーザーガイド」の「 AWS Private CA VPCエンドポイント (AWS PrivateLink)」を参照してください。 VPC

の Amazon VPCエンドポイントのポリシーを作成して AWS Private CA 、以下を指定できます。

  • アクションを実行できるプリンシパル

  • 実行可能なアクション

  • アクションを実行できるリソース

詳細については、「Amazon VPCユーザーガイド」のVPC「エンドポイントを使用したサービスへのアクセスの制御」を参照してください。

例 - AWS Private CA アクションのVPCエンドポイントポリシー

エンドポイントにアタッチされると、次のポリシーは、すべてのプリンシパルに AWS Private CA アクション IssueCertificate、、DescribeCertificateAuthorityGetCertificateListPermissions、および GetCertificateAuthorityCertificateへのアクセスを許可しますListTags。各スタンザのリソースはプライベート CA です。最初のスタンザは、指定されたプライベート CA と証明書テンプレートを使用して、エンドエンティティ証明書の作成を許可します。使用するテンプレートを制御しない場合、Condition セクションは必要ありません。ただし、これを削除すると、すべてのプリンシパルが CA 認定とエンドエンティティ証明書を交付できるようになります。

{
      "Statement":[
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:IssueCertificate"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ],
            "Condition":{
               "StringEquals":{
                  "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
               }
            }
         },
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:DescribeCertificateAuthority",
               "acm-pca:GetCertificate",
               "acm-pca:GetCertificateAuthorityCertificate",
               "acm-pca:ListPermissions",
               "acm-pca:ListTags"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ]
         }
      ]
   }