CA privada da AWS VPCpontos finais ()AWS PrivateLink - AWS Private Certificate Authority

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

CA privada da AWS VPCpontos finais ()AWS PrivateLink

Você pode criar uma conexão privada entre você VPC e CA privada da AWS configurando um VPC endpoint de interface. Os endpoints de interface são alimentados por AWS PrivateLink, uma tecnologia para operações de acesso CA privada da AWS API privado. AWS PrivateLink direciona todo o tráfego de rede entre você VPC e CA privada da AWS a rede da Amazon, evitando a exposição na internet aberta. Cada VPC endpoint é representado por uma ou mais interfaces de rede elásticas com endereços IP privados em suas VPC sub-redes.

O VPC endpoint da interface conecta você VPC diretamente CA privada da AWS sem um gateway de internet, NAT dispositivo, VPN conexão ou AWS Direct Connect conexão. As instâncias em seu VPC não precisam de endereços IP públicos para se comunicar com CA privada da AWS API o.

Para usar CA privada da AWS por meio do seuVPC, você deve se conectar a partir de uma instância que esteja dentro doVPC. Como alternativa, você pode conectar sua rede privada à sua VPC usando um AWS Virtual Private Network (AWS VPN) ou AWS Direct Connect. Para obter informações sobre AWS VPN, consulte VPNConexões no Guia VPC do usuário da Amazon. Para obter informações sobre AWS Direct Connect, consulte Criação de uma conexão no Guia AWS Direct Connect do usuário.

CA privada da AWS não requer o uso de AWS PrivateLink, mas nós o recomendamos como uma camada adicional de segurança. Para obter mais informações sobre VPC endpoints AWS PrivateLink e terminais, consulte Acessando serviços por meio AWS PrivateLink de.

Considerações sobre endpoints CA privada da AWS VPC

Antes de configurar os VPC endpoints de interface para CA privada da AWS, esteja ciente das seguintes considerações:

  • CA privada da AWS pode não oferecer suporte a VPC endpoints em algumas zonas de disponibilidade. Ao criar um VPC endpoint, primeiro verifique o suporte no console de gerenciamento. Zonas de disponibilidade sem suporte são marcadas como “Serviço sem suporte nesta zona de disponibilidade”.

  • VPCos endpoints não oferecem suporte a solicitações entre regiões. Certifique-se de criar seu endpoint na mesma região para a qual planeja emitir suas API chamadas. CA privada da AWS

  • VPCOs endpoints oferecem suporte somente à Amazon fornecido DNS por meio do Amazon Route 53. Se quiser usar o seu próprioDNS, você pode usar o DNS encaminhamento condicional. Para obter mais informações, consulte Conjuntos de DHCP opções no Guia VPC do usuário da Amazon.

  • O grupo de segurança conectado ao VPC endpoint deve permitir conexões de entrada na porta 443 da sub-rede privada do. VPC

  • AWS Certificate Manager não oferece suporte a VPC endpoints.

  • FIPSendpoints (e suas regiões) não oferecem suporte a VPC endpoints.

CA privada da AWS APIatualmente oferece suporte a VPC endpoints no seguinte: Regiões da AWS

  • Leste dos EUA (Ohio)

  • Leste dos EUA (N. da Virgínia)

  • Oeste dos EUA (N. da Califórnia)

  • Oeste dos EUA (Oregon)

  • África (Cidade do Cabo)

  • Ásia-Pacífico (Hong Kong)

  • Ásia-Pacífico (Hyderabad)

  • Ásia-Pacífico (Jacarta)

  • Ásia-Pacífico (Melbourne)

  • Ásia-Pacífico (Mumbai)

  • Ásia-Pacífico (Osaka)

  • Ásia-Pacífico (Seul)

  • Ásia-Pacífico (Singapura)

  • Ásia-Pacífico (Sydney)

  • Ásia-Pacífico (Tóquio)

  • Canadá (Central)

  • Oeste do Canadá (Calgary)

  • Europa (Frankfurt)

  • Europa (Irlanda)

  • Europa (Londres)

  • Europa (Milão)

  • Europe (Paris)

  • Europa (Espanha)

  • Europa (Estocolmo)

  • Europa (Zurique)

  • Israel (Tel Aviv)

  • Oriente Médio (Barém)

  • Oriente Médio (UAE)

  • América do Sul (São Paulo)

Criando os VPC endpoints para CA privada da AWS

Você pode criar um VPC endpoint para o CA privada da AWS serviço usando o VPC console em https://console.aws.amazon.com/vpc/ou o. AWS Command Line Interface Para obter mais informações, consulte o procedimento de criação de um endpoint de interface no Guia do VPC usuário da Amazon. CA privada da AWS suporta fazer chamadas para todas as suas API operações dentro do seuVPC.

Se você habilitou nomes de DNS host privados para o endpoint, o endpoint padrão agora é resolvido para o seu CA privada da AWS endpoint. VPC Para obter uma lista abrangente de endpoints de serviço padrão, consulte Endpoints e cotas de serviço.

Se você não habilitou nomes de DNS host privados, a Amazon VPC fornece um nome de DNS endpoint que você pode usar no seguinte formato:

vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
nota

O valor region representa o identificador de região para uma AWS região suportada por CA privada da AWS, como us-east-2 para a região Leste dos EUA (Ohio). Para obter uma lista de CA privada da AWS, consulte AWS Certificate Manager Private Certificate Authority Endpoints and Quotas.

Para obter mais informações, consulte CA privada da AWS VPCendpoints (AWS PrivateLink) no Guia do VPC usuário da Amazon.

Você pode criar uma política para VPC endpoints da Amazon CA privada da AWS para especificar o seguinte:

  • A entidade principal que pode executar ações

  • As ações que podem ser executadas

  • Os recursos nos quais as ações podem ser executadas

Para obter mais informações, consulte Controlando o acesso a serviços com VPC endpoints no Guia do VPC usuário da Amazon.

Exemplo — política VPC de endpoint para CA privada da AWS ações

Quando anexada a um endpoint, a política a seguir concede acesso a todos os diretores às CA privada da AWS açõesIssueCertificate,DescribeCertificateAuthority,GetCertificate, GetCertificateAuthorityCertificateListPermissions, e. ListTags O recurso em cada estrofe é uma CA privada. A primeira estrofe autoriza a criação de certificados de entidade final usando a CA privada especificada e o modelo de certificado. Se você não quiser controlar o modelo que está sendo usado, a seção Condition não será necessária. No entanto, remover isso permite que todos os principais criem certificados CA bem como certificados de entidade final.

{ "Statement":[ { "Principal":"*", "Effect":"Allow", "Action":[ "acm-pca:IssueCertificate" ], "Resource":[ "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" ], "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } }, { "Principal":"*", "Effect":"Allow", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":[ "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" ] } ] }