本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 通过 VPC 终端节点连接到 AWS 支付加密
您可以通过虚拟私有云 (VPC) 中的私有接口终端节点直接连接到 AWS 支付加密。当您使用接口 VPC 终端节点时,您的 VPC 和 AWS 支付加密之间的通信完全在 AWS 网络内进行。
AWS Payment Cryptography 支持由[AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/)提供支持的亚马逊虚拟私有云(亚马逊 VPC)终端节点。每个 VPC 端点都由您的 VPC 子网中一个或多个使用私有 IP 地址的[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENI) 代表。
接口 VPC 终端节点将您的 VPC 直接连接到 AWS 支付加密,无需互联网网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。您的 VPC 中的实例不需要公有 IP 地址即可与 AWS 支付加密进行通信。
**Regions**
AWS 支付密码学支持 VPC 终端节点和 VPC 终端节点策略,所有这些 AWS 区域 策略都支持[AWS 支付加密](https://docs.aws.amazon.com/general/latest/gr/payment-cryptography.html)。
**Topics**
+ [AWS 支付加密 VPC 终端节点的注意事项](#vpce-considerations)
+ [为 AWS 支付加密创建 VPC 终端节点](#vpce-create-endpoint)
+ [连接到 AWS 支付加密 VPC 终端节点](#vpce-connect)
+ [控制对 VPC 端点的访问](#vpce-policy)
+ [在策略语句中使用 VPC 端点](#vpce-policy-condition)
+ [记录您的 VPC 端点](#vpce-logging)
## AWS 支付加密 VPC 终端节点的注意事项
**注意**
尽管 VPC 终端节点允许您在最少一个可用区 (AZ) 内连接到服务,但出于高可用性和冗余目的,我们建议您连接到三个可用区。
在为 AWS 支付加密设置接口 VPC 终端节点之前,请查看*AWS PrivateLink 指南*中的[接口终端节点属性和限制](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations)主题。
AWS VPC 终端节点的支付加密支持包括以下内容。
+ 您可以使用您的 VPC 终端节点从 VPC 调用所有[AWSAWS 支付加密控制平面操作](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_Operations.html)[和支付加密数据平面操作](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_Operations.html)。
+ 您可以创建连接 AWS 支付加密区域终端节点的接口 VPC 终端节点。
+ AWS 支付密码学由控制平面和数据平面组成。您可以选择设置一个或两个子服务, AWS PrivateLink 但每个子服务都是单独配置的。
+ 您可以通过 VPC 终端节点使用 AWS CloudTrail 日志来审核您对 AWS 支付加密密钥的使用情况。有关更多信息,请参阅 [记录您的 VPC 端点](#vpce-logging)。
## 为 AWS 支付加密创建 VPC 终端节点
您可以使用亚马逊 VPC 控制台或亚马逊 VPC API 为 AWS 支付加密创建 VPC 终端节点。有关更多信息,请参阅《AWS PrivateLink 指南》**中的[创建接口端点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)。
+ 要为 AWS 支付加密创建 VPC 终端节点,请使用以下服务名称:
```
com.amazonaws.{{region}}.payment-cryptography.controlplane
```
```
com.amazonaws.{{region}}.payment-cryptography.dataplane
```
例如,在美国西部(俄勒冈)区域 (`us-west-2`) 中,服务名称将是:
```
com.amazonaws.us-west-2.payment-cryptography.controlplane
```
```
com.amazonaws.us-west-2.payment-cryptography.dataplane
```
为了更轻松地使用 VPC 端点,您可以为 VPC 端点启用[私有 DNS 名称](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html)。如果您选择**启用 DNS 名称**选项,则标准 AWS 支付加密 DNS 主机名将解析到您的 VPC 终端节点。例如,`https://controlplane.payment-cryptography.us-west-2.amazonaws.com` 将解析为连接到服务名称 `com.amazonaws.us-west-2.payment-cryptography.controlplane` 的 VPC 端点。
此选项可让您更轻松地使用 VPC 端点。默认情况下, AWS 软件开发工具包和 AWS CLI 使用标准 AWS 支付加密 DNS 主机名,因此您无需在应用程序和命令中指定 VPC 终端节点 URL。
有关更多信息,请参阅 *AWS PrivateLink 指南*中的[通过接口端点访问服务](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint)。
## 连接到 AWS 支付加密 VPC 终端节点
您可以使用 AWS SDK( AWS CLI 或 AWS Tools for PowerShell)通过 VPC 终端节点连接到 AWS 支付加密。要指定 VPC 端点,请使用其 DNS 名称。
例如,此 [list-keys](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/list-keys.html) 命令使用 `endpoint-url` 参数指定 VPC 终端节点。要使用类似命令,请将示例中的 VPC 终端节点 ID 替换为您账户中的 ID。
```
$ aws payment-cryptography list-keys --endpoint-url {{https://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com}}
```
如果在创建 VPC 端点时启用了私有主机名,则无需在 CLI 命令或应用程序配置中指定 VPC 端点 URL。标准 AWS 支付加密 DNS 主机名解析到您的 VPC 终端节点。 AWS CLI 和软件开发工具包默认使用此主机名,因此您可以开始使用 VPC 终端节点连接到 AWS 支付加密区域终端节点,而无需更改脚本和应用程序中的任何内容。
要使用私有主机名,您的 VPC 的 `enableDnsHostnames` 和 `enableDnsSupport` 属性必须设置为 `true`。要设置这些属性,请使用[ModifyVpcAttribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcAttribute.html)操作。有关详细信息,请参阅《Amazon VPC 用户指南》中的[查看和更新 VPC 的 DNS 属性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)。**
## 控制对 VPC 端点的访问
要控制对 AWS 支付加密的 VPC 终端节点的访问,请将 V *PC 终端节点策略*附加到您的 VPC 终端节点。终端节点策略决定委托人是否可以使用 VPC 终端节点通过特定的 AWS 支付加密资源调用 AWS 支付加密操作。
您可以在创建终端节点时创建 VPC 端点策略,并且可以随时更改 VPC 端点策略。使用 VPC 管理控制台或[CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)或[ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html)操作。您也可以[使用 AWS CloudFormation 模板](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html)创建和更改 VPC 终端节点策略。有关使用 VPC 管理控制台的帮助,请参阅 *AWS PrivateLink 指南*中的[创建接口终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)和[修改接口终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#modify-interface-endpoint)。
有关编写和格式化 JSON 策略文档的帮助,请参阅 *IAM 用户指南*中的 [IAM JSON 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
**Topics**
+ [关于 VPC 终端节点策略](#vpce-policy-about)
+ [默认的 VPC 端点策略](#vpce-default-policy)
+ [创建 VPC 端点策略](#vpce-policy-create)
+ [查看 VPC 终端节点策略](#vpce-policy-get)
### 关于 VPC 终端节点策略
要使使用 VPC 终端节点的 AWS 支付加密请求成功,委托人需要来自两个来源的权限:
+ [基于身份的策略](security_iam_id-based-policy-examples.md)必须授予委托人对资源调用操作的权限(AWS 付款加密密钥或别名)。
+ VPC 端点策略必须授予委托人使用终端节点发出请求的权限。
例如,密钥策略可能允许委托人对特定的 AWS 支付加密密钥调用 [Decrypt](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_DecryptData.html)。但是,VPC 终端节点策略可能不允许该委托人使用终端节点调`Decrypt`用该 AWS 支付加密密钥。
或者,VPC 终端节点策略可能允许委托人使用终端节点调用[StopKeyUsage](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_StopKeyUsage.html)某些 AWS 支付加密密钥。但是,如果委托人没有 IAM 策略中的这些权限,则请求将失败。
### 默认的 VPC 端点策略
每个 VPC 端点都有 VPC 端点策略,但您无需指定策略。如果未指定策略,则默认的终端节点策略允许所有委托人对终端节点上的所有资源执行所有操作。
但是,对于 AWS 支付密码学资源,委托人还必须拥有从 [IAM 策略](security_iam_id-based-policy-examples.md)调用操作的权限。因此,在实践中,默认策略表示,如果委托人有权对资源调用操作,他们也可以通过使用终端节点调用该操作。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
要允许主体仅将 VPC 终端节点用于其允许操作的子集,[请创建或更新改 VPC 终端节点策略](#vpce-policy-create)。
### 创建 VPC 端点策略
VPC 端点策略确定委托人是否有权使用 VPC 端点对资源执行操作。对于 AWS 支付密码学资源,委托人还必须有权执行 [IAM 策略](security_iam_id-based-policy-examples.md)中的操作。
每个 VPC 端点策略语句都需要以下元素:
+ 可执行操作的委托人
+ 可执行的操作
+ 可对其执行操作的资源
策略语句不指定 VPC 端点。它适用于策略所附加到的任何 VPC 端点。有关更多信息,请参阅《Amazon VPC User Guide》**中的 [Controlling access to services with VPC endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
以下是 AWS 支付加密的 VPC 终端节点策略示例。当连接到 VPC 终端节点时,此策略`ExampleUser`允许使用 VPC 终端节点对指定的 AWS 支付加密密钥调用指定操作。在使用此类政策之前,请将示例委托人和[密钥标识符](concepts.md#concepts.key-identifer)替换为账户中的有效值。
```
{
"Statement":[
{
"Sid": "AllowDecryptAndView",
"Principal": {"AWS": "{{arn:aws:iam::111122223333:user/ExampleUser}}"},
"Effect":"Allow",
"Action": [
"payment-cryptography:Decrypt",
"payment-cryptography:GetKey",
"payment-cryptography:ListAliases",
"payment-cryptography:ListKeys",
"payment-cryptography:GetAlias"
],
"Resource": "{{arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h}}"
}
]
}
```
AWS CloudTrail 记录使用 VPC 终端节点的所有操作。但是,您的 CloudTrail 日志不包括其他账户中的委托人请求的操作或其他账户中 AWS 支付密码密钥的操作。
因此,您可能需要创建一个 VPC 终端节点策略,以防止外部账户中的委托人使用 VPC 终端节点对本地账户中的任何密钥调用任何 AWS 支付加密操作。
以下示例使用 a [ws: g PrincipalAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) lobal 条件密钥拒绝所有委托人访问所有 AWS 支付密码密钥的所有操作,除非委托人位于本地账户中。使用类似于此策略的策略之前,请使用有效值替换示例账户 ID。
```
{
"Statement": [
{
"Sid": "AccessForASpecificAccount",
"Principal": {"AWS": "*"},
"Action": "payment-cryptography:*",
"Effect": "Deny",
"Resource": "arn:aws:payment-cryptography:*:{{111122223333}}:key/*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "{{111122223333}}"
}
}
}
]
}
```
### 查看 VPC 终端节点策略
要查看终端节点的 VPC 终端节点策略,请使用 [VPC 管理控制台](https://console.aws.amazon.com/vpc/)或[DescribeVpcEndpoints](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html)操作。
以下 AWS CLI 命令获取具有指定 VPC 终端节点 ID 的终端节点的策略。
在使用此命令之前,请将示例终端节点 ID 替换为您账户中的有效终端节点 ID。
```
$ aws ec2 describe-vpc-endpoints \
--query 'VpcEndpoints[?VpcEndpointId==`{{vpce-1234abcdf5678c90a}}`].[PolicyDocument]'
--output text
```
## 在策略语句中使用 VPC 端点
当请求来自 VPC 或使用 VPC 终端节点时,您可以控制对 AWS 支付加密资源和操作的访问权限。为此,请使用一个 [IAM 策略](security_iam_id-based-policy-examples.md)
+ 使用 `aws:sourceVpce` 条件键基于 VPC 端点授予或限制访问。
+ 使用 `aws:sourceVpc` 条件键基于托管私有终端节点的 VPC 授予或限制访问。
**注意**
当请求来自 [Amazon VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)时,`aws:sourceIP`条件密钥无效。要限制对 VPC 端点的请求,请使用 `aws:sourceVpce` 或 `aws:sourceVpc` 条件键。有关更多信息,请参阅《AWS PrivateLink 指南》中的 [VPC 端点和 VPC 端点服务的身份和访问管理](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html)。**
您可以使用这些全局条件密钥来控制对 P AWS ayment Cryptography 密钥、别名以及不依赖于任何特定资源的此类[CreateKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_CreateKey.html)操作的访问权限。
例如,以下示例密钥策略仅允许用户在请求使用指定的 VPC 终端节点时使用 AWS 支付加密密钥执行特定的加密操作,从而阻止来自互联网和 AWS PrivateLink 连接的访问(如果已设置)。当用户向 P AWS ayment Cryptography 发出请求时,会将请求中的 VPC 终端节点 ID 与策略中的`aws:sourceVpce`条件密钥值进行比较。如果它们不匹配,则请求会被拒绝。
要使用类似的策略,请将占位符 AWS 账户 ID 和 VPC 终端节点 ID 替换为账户的有效值。
------
#### [ JSON ]
****
```
{
"Id": "example-key-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableIAMPolicies",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333}}:root"
]
},
"Action": [
"payment-cryptography:*"
],
"Resource": "*"
},
{
"Sid": "RestrictUsageToMyVPCEndpoint",
"Effect": "Deny",
"Principal": "*",
"Action": [
"payment-cryptography:EncryptData",
"payment-cryptography:DecryptData"
],
"Resource": "arn:aws:payment-cryptography:us-east-1:111122223333:key/*",
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "{{vpce-1234abcdf5678c90a}}"
}
}
}
]
}
```
------
您还可以使用`aws:sourceVpc`条件密钥根据 VPC 终端节点所在的 VPC 限制对您的 AWS 支付加密密钥的访问。
以下示例密钥策略允许命令仅在 AWS 付款加密密钥来自`vpc-12345678`时才对其进行管理。此外,它仅允许使用 AWS 支付密码学密钥进行加密操作的命令。`vpc-2b2b2b2b`如果应用程序在一个 VPC 中运行,但您使用第二个隔离的 VPC 执行管理功能,则可以使用这样的策略。
要使用类似的策略,请将占位符 AWS 账户 ID 和 VPC 终端节点 ID 替换为账户的有效值。
------
#### [ JSON ]
****
```
{
"Id": "example-key-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAdminActionsFrom{{VPC12345678}}",
"Effect": "Allow",
"Principal": {
"AWS": "{{111122223333}}"
},
"Action": [
"payment-cryptography:Create*",
"payment-cryptography:Encrypt*",
"payment-cryptography:ImportKey*",
"payment-cryptography:GetParametersForImport*",
"payment-cryptography:TagResource",
"payment-cryptography:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "{{vpc-12345678}}"
}
}
},
{
"Sid": "AllowKeyUsageFrom{{VPC2b2b2b2b}}",
"Effect": "Allow",
"Principal": {
"AWS": "{{111122223333}}"
},
"Action": [
"payment-cryptography:Encrypt*",
"payment-cryptography:Decrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "{{vpc-2b2b2b2b}}"
}
}
},
{
"Sid": "AllowListReadActionsFromEverywhere",
"Effect": "Allow",
"Principal": {
"AWS": "{{111122223333}}"
},
"Action": [
"payment-cryptography:List*",
"payment-cryptography:Get*"
],
"Resource": "*"
}
]
}
```
------
## 记录您的 VPC 端点
AWS CloudTrail 记录使用 VPC 终端节点的所有操作。当向 AWS 支付加密发出的请求使用 VPC 终端节点时,VPC 终端节点 ID 会出现在记录该请求的[AWS CloudTrail 日志](monitoring-cloudtrail.md)条目中。您可以使用终端节点 ID 来审核您的 AWS 支付加密 VPC 终端节点的使用情况。
为了保护您的 VPC,如果请求被 [VPC 终端节点策略](#vpce-policy)拒绝,但本来会被允许,则不会记录在中[AWS CloudTrail](monitoring-cloudtrail.md)。
例如,此示例日志条目记录了使用 VPC 终端节点的 [GenerateMac](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_GenerateMac.html) 请求。`vpcEndpointId` 字段出现在日志条目的末尾。
```
{
"eventVersion": "1.08",
"userIdentity": {
"principalId": "TESTXECZ5U9M4LGF2N6Y5:i-98761b8890c09a34a",
"arn": "arn:aws:sts::111122223333:assumed-role/samplerole/i-98761b8890c09a34a",
"accountId": "111122223333",
"accessKeyId": "TESTXECZ5U2ZULLHHMJG",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTXECZ5U9M4LGF2N6Y5",
"arn": "arn:aws:iam::111122223333:role/samplerole",
"accountId": "111122223333",
"userName": "samplerole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-05-27T19:34:10Z",
"mfaAuthenticated": "false"
},
"ec2RoleDelivery": "2.0"
}
},
"eventTime": "2024-05-27T19:49:54Z",
"eventSource": "payment-cryptography.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.31.85.253",
"userAgent": "aws-cli/2.14.5 Python/3.9.16 Linux/6.1.79-99.167.amzn2023.x86_64 source/x86_64.amzn.2023 prompt/off command/payment-cryptography.create-key",
"requestParameters": {
"keyAttributes": {
"keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
"keyClass": "SYMMETRIC_KEY",
"keyAlgorithm": "TDES_2KEY",
"keyModesOfUse": {
"encrypt": false,
"decrypt": false,
"wrap": false,
"unwrap": false,
"generate": true,
"sign": false,
"verify": true,
"deriveKey": false,
"noRestrictions": false
}
},
"exportable": true
},
"responseElements": {
"key": {
"keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
"keyAttributes": {
"keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
"keyClass": "SYMMETRIC_KEY",
"keyAlgorithm": "TDES_2KEY",
"keyModesOfUse": {
"encrypt": false,
"decrypt": false,
"wrap": false,
"unwrap": false,
"generate": true,
"sign": false,
"verify": true,
"deriveKey": false,
"noRestrictions": false
}
},
"keyCheckValue": "A486ED",
"keyCheckValueAlgorithm": "ANSI_X9_24",
"enabled": true,
"exportable": true,
"keyState": "CREATE_COMPLETE",
"keyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"createTimestamp": "May 27, 2024, 7:49:54 PM",
"usageStartTimestamp": "May 27, 2024, 7:49:54 PM"
}
},
"requestID": "f3020b3c-4e86-47f5-808f-14c7a4a99161",
"eventID": "b87c3d30-f3ab-4131-87e8-bc54cfef9d29",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"vpcEndpointId": "vpce-1234abcdf5678c90a",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "vpce-1234abcdf5678c90a-oo28vrvr.controlplane.payment-cryptography.us-east-1.vpce.amazonaws.com"
}
}
```