本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 私有 CA VPC端点 (AWS PrivateLink)
您可以 AWS 私有 CA 通过配置接口VPC终端节点在VPC和之间创建私有连接。接口端点由AWS PrivateLink一种用于私密访问 AWS 私有 CA API操作的技术提供支持。 AWS PrivateLink AWS 私有 CA 通过亚马逊网络路由您VPC和之间的所有网络流量,避免在开放的互联网上曝光。每个VPC端点都由一个或多个弹性网络接口表示,您的VPC子网中有私有 IP 地址。
接口VPC端点 AWS 私有 CA 无需互联网网关、NAT设备、VPN连接或连接即可将您VPC直接 AWS Direct Connect 连接到。您的中的实例VPC不需要公有 IP 地址即可与通信 AWS 私有 CA API。
要 AWS 私有 CA 通过您的使用VPC,必须从内部的实例进行连接VPC。或者,您可以使用 AWS Virtual Private Network (AWS VPN) 或将您的私有网络连接到您的VPC私有网络 AWS Direct Connect。有关信息 AWS VPN,请参阅《Amazon VPC 用户指南》中的 “VPN连接”。有关信息 AWS Direct Connect,请参阅《AWS Direct Connect 用户指南》中的创建连接。
AWS 私有 CA 不需要使用 AWS PrivateLink,但我们建议将其作为额外的安全层。有关 AWS PrivateLink 和VPC终端节点的更多信息,请参阅通过访问服务 AWS PrivateLink。
AWS 私有 CA VPC端点注意事项
在为设置接口VPC终端节点之前 AWS 私有 CA,请注意以下注意事项:
-
AWS 私有 CA 可能不支持某些可用区的VPC终端节点。创建VPC终端节点时,请先在管理控制台中查看支持情况。不支持的可用区标记为“此可用区不支持服务”。
-
VPC终端节点不支持跨区域请求。确保在计划向其发出API呼叫的同一区域创建终端节点 AWS 私有 CA。
-
VPC终端节点仅支持DNS通过 Amazon Route 53 提供的亚马逊。如果您想使用自己的转发DNS,则可以使用条件DNS转发。有关更多信息,请参阅 Amazon VPC 用户指南中的DHCP选项集。
-
连接到终端节点的安全组必须允许VPC端口 443 上来自的私有子网的VPC传入连接。
-
AWS Certificate Manager 不支持VPC端点。
-
FIPS终端节点(及其区域)不支持VPC终端节点。
AWS 私有 CA API目前支持以下VPC端点 AWS 区域:
-
美国东部(俄亥俄)
-
美国东部(弗吉尼亚州北部)
-
美国西部(加利福尼亚北部)
-
美国西部(俄勒冈州)
-
非洲(开普敦)
-
亚太地区(香港)
-
亚太地区(海得拉巴)
-
亚太地区(雅加达)
-
亚太地区(墨尔本)
-
亚太地区(孟买)
-
亚太地区(大阪)
-
亚太地区(首尔)
-
亚太地区(新加坡)
-
亚太地区(悉尼)
-
亚太地区(东京)
-
加拿大(中部)
-
加拿大西部(卡尔加里)
-
欧洲地区(法兰克福)
-
欧洲地区(爱尔兰)
-
欧洲地区(伦敦)
-
欧洲地区(米兰)
-
欧洲地区(巴黎)
-
欧洲(西班牙)
-
欧洲地区(斯德哥尔摩)
-
欧洲(苏黎世)
-
以色列(特拉维夫)
-
中东(巴林)
-
中东 (UAE)
-
南美洲(圣保罗)
为创建终VPC端节点 AWS 私有 CA
您可以使用VPC控制台https://console.aws.amazon.com/vpc/
如果您为终端节点启用了私有DNS主机名,则默认终端 AWS 私有 CA 节点现在会解析到您的终VPC端节点。有关默认服务终端节点的完整列表,请参阅服务终端节点和配额。
如果您尚未启用私有DNS主机名,Amazon 会VPC提供一个DNS终端节点名称,您可以按以下格式使用该名称:
vpc-endpoint-id
.acm-pca.region
.vpce.amazonaws.com
注意
值 region
表示所 AWS 私有 CA支持的 AWS 区域(例如us-east-2
美国东部(俄亥俄州)地区的区域标识符。有关列表 AWS 私有 CA,请参阅AWS Certificate Manager 私有证书颁发机构端点和配额。
有关更多信息,请参阅 Amazon VPC 用户指南中的AWS 私有 CA VPC终端节点 (AWS PrivateLink)。
为创建VPC终端节点策略 AWS 私有 CA
您可以为的 Amazon VPC 终端节点创建策略 AWS 私有 CA 以指定以下内容:
-
可执行操作的主体
-
可执行的操作
-
可对其执行操作的资源
有关更多信息,请参阅 Amazon VPC 用户指南中的使用VPC终端节点控制对服务的访问。
示例- AWS 私有 CA 操作的VPC端点策略
当连接到终端节点时,以下策略向所有委托人授予对 AWS 私有 CA 操作IssueCertificate
、、DescribeCertificateAuthority
GetCertificate
GetCertificateAuthorityCertificate
ListPermissions
、和ListTags
的访问权限。每个 Stanza 中的资源都是一个私有 CA。第一个 Stanza 授权使用指定的私有 CA 和证书模板创建终端实体证书。如果您不想控制要使用的模板,则不需要 Condition
部分。但是,删除此部分后将允许所有委托人创建 CA 证书以及终端实体证书。
{ "Statement":[ { "Principal":"*", "Effect":"Allow", "Action":[ "acm-pca:IssueCertificate" ], "Resource":[ "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" ], "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } }, { "Principal":"*", "Effect":"Allow", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":[ "arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" ] } ] }