기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Private CA VPC 엔드포인트 ()AWS PrivateLink
인터페이스 VPC 엔드포인트를 AWS Private CA 구성하여 VPC 간에 프라이빗 연결을 생성할 수 있습니다. 인터페이스 엔드포인트는 API 작업에 비공개로 액세스하기 위한 AWS PrivateLink기술인 을 통해 구동됩니다. AWS Private CA AWS PrivateLink VPC와 Amazon 네트워크를 AWS Private CA 통해 모든 네트워크 트래픽을 라우팅하여 개방형 인터넷에 노출되지 않도록 합니다. 각 VPC 엔드포인트는 하나 이상의 탄력적 네트워크 인터페이스 및 VPC 서브넷의 프라이빗 IP 주소로 표현됩니다.
인터페이스 VPC 엔드포인트는 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 연결 AWS Private CA 없이 VPC를 직접 연결합니다. AWS Direct Connect VPC의 인스턴스는 API와 통신하는 데 퍼블릭 IP 주소가 필요하지 않습니다. AWS Private CA
VPC를 AWS Private CA 통해 사용하려면 VPC 내부의 인스턴스에서 연결해야 합니다. 또는 AWS Virtual Private Network (AWS VPN) 또는 를 사용하여 프라이빗 네트워크를 VPC에 연결할 수 있습니다. AWS Direct Connect에 대한 AWS VPN자세한 내용은 Amazon VPC 사용 설명서의 VPN 연결을 참조하십시오. 에 대한 AWS Direct Connect자세한 내용은 AWS Direct Connect 사용 설명서의 연결 생성을 참조하십시오.
AWS Private CA 를 사용할 필요는 없지만 추가 보안 계층으로 사용하는 것이 좋습니다. AWS PrivateLink VPC 엔드포인트에 대한 AWS PrivateLink 자세한 내용은 다음을 통한 서비스 액세스를 참조하십시오. AWS PrivateLink
AWS Private CA VPC 엔드포인트 고려 사항
에 대한 AWS Private CA인터페이스 VPC 엔드포인트를 설정하기 전에 다음 고려 사항을 숙지하십시오.
-
AWS Private CA 일부 가용 영역에서는 VPC 엔드포인트를 지원하지 않을 수 있습니다. VPC 엔드포인트를 생성할 때는 먼저 관리 콘솔에서 지원을 확인하세요. 지원되지 않는 가용 영역은 “이 가용 영역에서 서비스가 지원되지 않음”으로 표시됩니다.
-
VPC 엔드포인트는 교차 리전 요청을 지원하지 않습니다. API 호출을 AWS Private CA(으)로 발행할 계획인 동일 리전에서 엔드포인트를 생성해야 합니다.
-
VPC 엔드포인트는 Amazon Route 53을 통해 Amazon이 제공하는 DNS만 지원합니다. 자신의 DNS를 사용하는 경우에는 조건적인 DNS 전송을 사용할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서의 DHCP 옵션 세트를 참조하십시오.
-
VPC 엔드포인트에 연결된 보안 그룹은 VPC의 프라이빗 서브넷에서 443 포트로 들어오는 연결을 허용해야 합니다.
-
AWS Certificate Manager VPC 엔드포인트를 지원하지 않습니다.
-
FIPS 엔드포인트(및 해당 리전)는 VPC 엔드포인트를 지원하지 않습니다.
AWS Private CA API는 현재 다음과 같은 VPC 엔드포인트를 지원합니다. AWS 리전
-
미국 동부(오하이오)
-
미국 동부(버지니아 북부)
-
미국 서부(캘리포니아 북부)
-
미국 서부(오레곤)
-
아프리카(케이프타운)
-
아시아 태평양(홍콩)
-
아시아 태평양(뭄바이)
-
아시아 태평양(오사카)
-
아시아 태평양(서울)
-
아시아 태평양(싱가포르)
-
아시아 태평양(시드니)
-
아시아 태평양(도쿄)
-
캐나다(중부)
-
유럽(프랑크푸르트)
-
유럽(아일랜드)
-
유럽(런던)
-
유럽(파리)
-
유럽(스톡홀름)
-
유럽(밀라노)
-
이스라엘(텔아비브)
-
중동(바레인)
-
남아메리카(상파울루)
AWS Private CA용 VPC 엔드포인트 생성
VPC 콘솔 (https://console.aws.amazon.com/vpc/) 또는 를 사용하여 AWS Private CA 서비스에 대한 VPC 엔드포인트를 생성할 수 있습니다.
엔드포인트에서 프라이빗 DNS 호스트 이름을 활성화하면 기본 AWS Private CA 엔드포인트가 VPC 엔드포인트로 확인됩니다. 기본 서비스 엔드포인트의 전체 목록은 서비스 엔드포인트 및 할당량을 참조하십시오.
프라이빗 DNS 호스트 이름을 활성화하지 않은 경우, Amazon VPC는 다음 형식으로 사용할 수 있는 DNS 엔드포인트를 제공합니다.
vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
참고
값 지역은 지원되는 지역 (예: 미국 동부 (오하이오) AWS 지역의 us-east-2 경우) 의 지역 식별자를 나타냅니다. AWS Private CA목록은 AWS Private CAAWS Certificate Manager 사설 인증 기관 엔드포인트 및 할당량을 참조하십시오.
자세한 내용은 Amazon AWS Private CA VPC 사용 설명서의 VPC 엔드포인트 (AWS PrivateLink) 를 참조하십시오.
AWS Private CA에 대한 VPC 엔드포인트 정책 생성
Amazon VPC 엔드포인트에 대한 정책을 AWS Private CA 생성하여 다음을 지정할 수 있습니다.
-
작업을 수행할 수 있는 보안 주체.
-
수행할 수 있는 작업
-
작업을 수행할 수 있는 리소스
자세한 내용은 Amazon VPC 사용 설명서의 VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하십시오.
예 — 작업에 대한 VPC 엔드포인트 정책 AWS Private CA
엔드포인트에 연결할 경우 다음 정책은 모든 보안 주체에게 AWS Private CA 작업IssueCertificate,, DescribeCertificateAuthority GetCertificateGetCertificateAuthorityCertificate, ListPermissions 및 에 대한 액세스 권한을 부여합니다. ListTags 각 스탠자의 리소스는 사설 CA입니다. 첫 번째 스탠자는 지정된 사설 CA 및 인증서 템플릿을 사용하여 최종 엔터티 인증서의 생성을 승인합니다. 사용 중인 템플릿을 제어하지 않으려는 경우에는 Condition 섹션이 필요하지 않습니다. 그러나 이 옵션을 제거하면 모든 보안 주체가 CA 인증서와 최종 엔터티 인증서를 생성할 수 있습니다.
{ "Statement":[ { "Principal":"*", "Effect":"Allow", "Action":[ "acm-pca:IssueCertificate" ], "Resource":[ "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" ], "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } }, { "Principal":"*", "Effect":"Allow", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":[ "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" ] } ] }
