CA privada da AWS Endpoints de VPC ()AWS PrivateLink - AWS Private Certificate Authority
Considerações sobre CA privada da AWS VPC endpointsCriar os endpoints da VPC para o CA privada da AWSCriar uma política de VPC endpoint para o CA privada da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

CA privada da AWS Endpoints de VPC ()AWS PrivateLink

Você pode criar uma conexão privada entre sua VPC e CA privada da AWS configurar uma interface VPC endpoint. Os endpoints de interface são alimentados por AWS PrivateLink, uma tecnologia para acessar de forma privada as operações de CA privada da AWS API. AWS PrivateLink roteia todo o tráfego de rede entre sua VPC e CA privada da AWS através da rede Amazon, evitando exposição na Internet aberta. Cada VPC endpoint é representado por uma ou mais interfaces de rede elástica com endereços IP privados em suas sub-redes da VPC.

A interface VPC endpoint conecta sua VPC diretamente CA privada da AWS sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão. AWS Direct Connect As instâncias na sua VPC não precisam de endereços IP públicos para se comunicarem com a CA privada da AWS API.

Para usar CA privada da AWS por meio de sua VPC, você deve se conectar a partir de uma instância que esteja dentro da VPC. Como alternativa, você pode conectar sua rede privada à sua VPC usando um AWS Virtual Private Network (AWS VPN) ou. AWS Direct Connect Para obter informações sobre isso AWS VPN, consulte Conexões VPN no Guia do usuário da Amazon VPC. Para obter informações sobre AWS Direct Connect, consulte Criação de uma conexão no Guia AWS Direct Connect do usuário.

CA privada da AWS não requer o uso de AWS PrivateLink, mas nós o recomendamos como uma camada adicional de segurança. Para obter mais informações sobre endpoints AWS PrivateLink de VPC, consulte Acessando serviços por meio de. AWS PrivateLink

Considerações sobre CA privada da AWS VPC endpoints

Antes de configurar a interface para VPC endpoints CA privada da AWS, esteja ciente das seguintes considerações:

  • CA privada da AWS pode não oferecer suporte a VPC endpoints em algumas zonas de disponibilidade. Ao criar um endpoint de VPC, primeiro verifique o suporte no console de gerenciamento. Zonas de disponibilidade sem suporte são marcadas como “Serviço sem suporte nesta zona de disponibilidade”.

  • Os VPC endpoints não são compatíveis com solicitações entre regiões. Garanta a criação do seu endpoint na mesma Região onde planeja emitir as chamadas de API para o CA privada da AWS.

  • Os endpoints da VPC oferecem suporte somente a DNS fornecidos pela Amazon por meio do Amazon Route 53. Se quiser usar seu próprio DNS, você pode usar o encaminhamento de DNS condicional. Para obter mais informações, consulte Conjuntos de Opções de DHCP no Manual do Usuário da Amazon VPC.

  • O grupo de segurança anexado ao endpoint da VPC deve permitir entrada conectada a porta 443 na sub-rede privada da VPC.

  • AWS Certificate Manager não oferece suporte a endpoints VPC.

  • Os endpoints FIPS (e suas regiões) não são compatíveis com VPC endpoints.

CA privada da AWS Atualmente, a API oferece suporte a endpoints VPC no seguinte: Regiões da AWS

  • Leste dos EUA (Ohio)

  • Leste dos EUA (N. da Virgínia)

  • Oeste dos EUA (N. da Califórnia)

  • Oeste dos EUA (Oregon)

  • África (Cidade do Cabo)

  • Ásia-Pacífico (Hong Kong)

  • Ásia-Pacífico (Mumbai)

  • Ásia-Pacífico (Osaka)

  • Ásia-Pacífico (Seul)

  • Ásia-Pacífico (Singapura)

  • Ásia-Pacífico (Sydney)

  • Ásia-Pacífico (Tóquio)

  • Canadá (Central)

  • Europa (Frankfurt)

  • Europa (Irlanda)

  • Europa (Londres)

  • Europa (Paris)

  • Europa (Estocolmo)

  • Europa (Milão)

  • Israel (Tel Aviv)

  • Middle East (Bahrain)

  • South America (São Paulo)

Criar os endpoints da VPC para o CA privada da AWS

Você pode criar um VPC endpoint para o CA privada da AWS serviço usando o console VPC em https://console.aws.amazon.com/vpc/ ou o. AWS Command Line Interface Para obter mais informações, consulte o procedimento Criação de um endpoint de interface no Guia do usuário da Amazon VPC. CA privada da AWS suporta fazer chamadas para todas as suas operações de API dentro da sua VPC.

Se você habilitou nomes de host DNS privados para o endpoint, o endpoint padrão do CA privada da AWS agora será resolvido para o endpoint de VPC. Para obter uma lista abrangente de endpoints de serviço padrão, consulte Endpoints e cotas de serviço.

Se você não habilitar nomes de host DNS privados, a Amazon VPC fornecerá um nome de endpoint DNS que você poderá usar no seguinte formato:

vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
nota

A região de valor representa o identificador de uma AWS região suportada por CA privada da AWS, como us-east-2 a região Leste dos EUA (Ohio). Para obter uma lista de CA privada da AWS, consulte AWS Certificate Manager Private Certificate Authority Endpoints and Quotas.

Para obter mais informações, consulte CA privada da AWS VPC endpoints (AWS PrivateLink) no Guia do usuário do Amazon VPC.

Você pode criar uma política para endpoints do Amazon VPC CA privada da AWS para especificar o seguinte:

  • A entidade principal que pode executar ações

  • As ações que podem ser executadas

  • Os recursos nos quais as ações podem ser executadas

Para obter mais informações, consulte Controlar o acesso a serviços com endpoint da VPCs no Manual do usuário da Amazon VPC.

Exemplo — política de VPC endpoint para ações CA privada da AWS

Quando anexada a um endpoint, a política a seguir concede acesso a todos os diretores às CA privada da AWS açõesIssueCertificate,DescribeCertificateAuthority,GetCertificate, GetCertificateAuthorityCertificateListPermissions, e. ListTags O recurso em cada estrofe é uma CA privada. A primeira estrofe autoriza a criação de certificados de entidade final usando a CA privada especificada e o modelo de certificado. Se você não quiser controlar o modelo que está sendo usado, a seção Condition não será necessária. No entanto, remover isso permite que todos os principais criem certificados CA bem como certificados de entidade final.

{
      "Statement":[
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:IssueCertificate"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ],
            "Condition":{
               "StringEquals":{
                  "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
               }
            }
         },
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:DescribeCertificateAuthority",
               "acm-pca:GetCertificate",
               "acm-pca:GetCertificateAuthorityCertificate",
               "acm-pca:ListPermissions",
               "acm-pca:ListTags"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ]
         }
      ]
   }