As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# CA privada da AWS Endpoints de VPC ()AWS PrivateLink
Você pode criar uma conexão privada entre sua VPC e CA privada da AWS configurar uma interface VPC endpoint. Os endpoints de interface são alimentados por [AWS PrivateLink](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-privatelink.html), uma tecnologia para acessar de forma privada as operações de CA privada da AWS API. AWS PrivateLink roteia todo o tráfego de rede entre sua VPC e CA privada da AWS através da rede Amazon, evitando exposição na Internet aberta. Cada VPC endpoint é representado por uma ou mais [interfaces de rede elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) com endereços IP privados em suas sub-redes da VPC.
A interface VPC endpoint conecta sua VPC diretamente CA privada da AWS sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect Não é necessário que as instâncias na sua VPC tenham endereços IP públicos para se comunicar com a API do CA privada da AWS .
Para usar CA privada da AWS por meio de sua VPC, você deve se conectar a partir de uma instância que esteja dentro da VPC. Como alternativa, você pode conectar sua rede privada à sua VPC usando um AWS Virtual Private Network (Site-to-Site VPN) ou. Direct Connect Para obter informações sobre isso Site-to-Site VPN, consulte [Conexões VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) no Guia do *usuário da Amazon VPC*. Para obter informações sobre a Direct Connect, consulte [Criar uma conexão](https://docs.aws.amazon.com/directconnect/latest/UserGuide/dedicated_connection.html#create-connection) no *Manual do usuário da Direct Connect *.
CA privada da AWS não requer o uso de AWS PrivateLink, mas nós o recomendamos como uma camada adicional de segurança. Para obter mais informações sobre endpoints AWS PrivateLink de VPC, consulte [Acessando](https://docs.aws.amazon.com/vpc/latest/userguide/privatelink-access-aws-services.html) serviços por meio de. AWS PrivateLink
## Considerações sobre CA privada da AWS VPC endpoints
Antes de configurar a interface para VPC endpoints CA privada da AWS, esteja ciente das seguintes considerações:
+ CA privada da AWS pode não oferecer suporte a VPC endpoints em algumas zonas de disponibilidade. Ao criar um endpoint de VPC, primeiro verifique o suporte no console de gerenciamento. Zonas de disponibilidade sem suporte são marcadas como “Serviço sem suporte nesta zona de disponibilidade”.
+ Os VPC endpoints não são compatíveis com solicitações entre regiões. Garanta a criação do seu endpoint na mesma Região onde planeja emitir as chamadas de API para o CA privada da AWS.
+ Os endpoints da VPC oferecem suporte somente a DNS fornecidos pela Amazon por meio do Amazon Route 53. Se quiser usar seu próprio DNS, você pode usar o encaminhamento de DNS condicional. Para obter mais informações, consulte [Conjuntos de Opções de DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) no *Manual do Usuário da Amazon VPC*.
+ O grupo de segurança anexado ao endpoint da VPC deve permitir entrada conectada a porta 443 na sub-rede privada da VPC.
CA privada da AWS Atualmente, a API oferece suporte a endpoints VPC no seguinte: Regiões da AWS
+ Leste dos EUA (Ohio)
+ Leste dos EUA (Norte da Virgínia)
+ Oeste dos EUA (N. da Califórnia)
+ Oeste dos EUA (Oregon)
+ África (Cidade do Cabo)
+ Ásia-Pacífico (Hong Kong)
+ Ásia-Pacífico (Hyderabad)
+ Ásia-Pacífico (Jacarta)
+ Ásia-Pacífico (Melbourne)
+ Ásia-Pacífico (Mumbai)
+ Ásia-Pacífico (Osaka)
+ Ásia-Pacífico (Seul)
+ Ásia-Pacífico (Singapura)
+ Ásia-Pacífico (Sydney)
+ Ásia-Pacífico (Tóquio)
+ Canadá (Central)
+ Oeste do Canadá (Calgary)
+ Europa (Frankfurt)
+ Europa (Irlanda)
+ Europa (Londres)
+ Europa (Milão)
+ Europe (Paris)
+ Europa (Espanha)
+ Europa (Estocolmo)
+ Europa (Zurique)
+ Israel (Tel Aviv)
+ Oriente Médio (Barém)
+ Oriente Médio (Emirados Árabes Unidos)
+ América do Sul (São Paulo)
## Criação de endpoints de VPC para CA privada da AWS
Você pode criar um VPC endpoint para o CA privada da AWS serviço usando o console VPC em ou o. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) AWS Command Line Interface Para obter mais informações, consulte o procedimento [Criação de um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) no Guia do usuário da *Amazon VPC*. CA privada da AWS suporta fazer chamadas para todas as operações de API dentro da sua VPC.
Se você habilitou nomes de host DNS privados para o endpoint, o endpoint padrão do CA privada da AWS agora será resolvido para o endpoint de VPC. Para obter uma lista abrangente de endpoints de serviço padrão, consulte [Endpoints e cotas de serviço](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html).
Se você não habilitar nomes de host DNS privados, a Amazon VPC fornecerá um nome de endpoint DNS que você poderá usar no seguinte formato:
```
vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
```
**nota**
O valor *region* representa o identificador de região para uma AWS região suportada por CA privada da AWS, como `us-east-2` para a região Leste dos EUA (Ohio). Para obter uma lista do CA privada da AWS, consulte [Endpoints e cotas de autoridades de certificação privadas do AWS Certificate Manager](https://docs.aws.amazon.com/general/latest/gr/pca.html).
Para obter mais informações, consulte [CA privada da AWS VPC endpoints (AWS PrivateLink) no Guia do usuário](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) do Amazon *VPC*.
## Crie uma política de VPC endpoint para CA privada da AWS
Você pode criar uma política para endpoints do Amazon VPC CA privada da AWS para especificar o seguinte:
+ A entidade principal que pode executar ações
+ As ações que podem ser executadas
+ Os recursos nos quais as ações podem ser executadas
Para obter mais informações, consulte Como [controlar o acesso aos serviços com VPC Endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no Guia da Amazon *VPC*.
**Exemplo — política de VPC endpoint para ações CA privada da AWS**
Quando anexada a um endpoint, a política a seguir concede acesso a todos os diretores às CA privada da AWS ações`IssueCertificate`,`DescribeCertificateAuthority`,`GetCertificate`, `GetCertificateAuthorityCertificate``ListPermissions`, e. `ListTags` O recurso em cada estrofe é uma CA privada. A primeira estrofe autoriza a criação de certificados de entidade final usando a CA privada especificada e o modelo de certificado. Se você não quiser controlar o modelo que está sendo usado, a seção `Condition` não será necessária. No entanto, remover isso permite que todos os principais criem certificados CA bem como certificados de entidade final.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"acm-pca:IssueCertificate"
],
"Resource":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
],
"Condition":{
"StringEquals":{
"acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
}
},
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListPermissions",
"acm-pca:ListTags"
],
"Resource":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
]
}
]
}
```