本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 私有 CA VPC 终端节点 (AWS PrivateLink)
<a name="vpc-endpoints"></a>

您可以通过配置接口 VPC 终端节点在您 AWS 私有 CA 的 VPC 和之间创建私有连接。接口端点由[AWS PrivateLink](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-privatelink.html)一种用于私密访问 AWS 私有 CA API 操作的技术提供支持。 AWS PrivateLink 在您的 VPC 之间以及 AWS 私有 CA 通过 Amazon 网络路由所有网络流量，避免在开放的互联网上暴露。每个 VPC 终端节点都由您的 VPC 子网中一个或多个使用私有 IP 地址的[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)代表。

接口 VPC 终端节点直接连接您的 VPC， AWS 私有 CA 无需互联网网关、NAT 设备、VPN Direct Connect 连接或连接。VPC 中的实例不需要公有 IP 地址便可与 AWS 私有 CA API 进行通信。

要 AWS 私有 CA 通过您的 VPC 使用，您必须从 VPC 内部的实例进行连接。或者，您可以使用 AWS Virtual Private Network (Site-to-Site VPN) 或将您的私有网络连接到 VPC Direct Connect。有关信息 Site-to-Site VPN，请参阅 *Amazon VPC 用户指南*[中的 VPN 连接](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)。有关 Direct Connect的信息，请参阅《*Direct Connect 用户指南*》中的[创建连接](https://docs.aws.amazon.com/directconnect/latest/UserGuide/dedicated_connection.html#create-connection)。

AWS 私有 CA 不需要使用 AWS PrivateLink，但我们建议将其作为额外的安全层。有关 AWS PrivateLink 和 VPC 终端节点的更多信息，请参阅[通过访问服务 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/privatelink-access-aws-services.html)。

## AWS 私有 CA VPC 终端节点的注意事项
<a name="vpc-endpoint-considerations"></a>

在为设置接口 VPC 终端节点之前 AWS 私有 CA，请注意以下注意事项：
+ AWS 私有 CA 在某些可用区域中可能不支持 VPC 终端节点。创建 VPC 端点时，请先在管理控制台中查看是否支持。不支持的可用区标记为“此可用区不支持服务”。
+ VPC 终端节点不支持跨区域请求。确保在计划向 AWS 私有 CA发出 API 调用的同一区域中创建端点。
+ VPC 端点仅通过 Amazon Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS，可以使用条件 DNS 转发。有关更多信息，请参阅 *Amazon VPC 用户指南*中的 [DHCP 选项集](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)。
+ 附加到 VPC 端点的安全组必须允许端口 443 上来自 VPC 的私有子网的传入连接。

AWS 私有 CA API 目前支持以下方面的 VPC 终端节点 AWS 区域：
+ 美国东部（俄亥俄州）
+ 美国东部（弗吉尼亚州北部）
+ 美国西部（北加利福尼亚）
+ 美国西部（俄勒冈州）
+ 非洲（开普敦）
+ 亚太地区（香港）
+ 亚太地区（海得拉巴）
+ 亚太地区（雅加达）
+ 亚太地区（墨尔本）
+ 亚太地区（孟买）
+ 亚太地区（大阪）
+ 亚太地区（首尔）
+ 亚太地区（新加坡）
+ 亚太地区（悉尼）
+ 亚太地区（东京）
+ 加拿大（中部）
+ 加拿大西部（卡尔加里）
+ 欧洲地区（法兰克福）
+ 欧洲地区（爱尔兰）
+ 欧洲地区（伦敦）
+ 欧洲地区（米兰）
+ 欧洲地区（巴黎） 
+ 欧洲（西班牙） 
+ 欧洲地区（斯德哥尔摩）
+ 欧洲（苏黎世）
+ 以色列（特拉维夫）
+ Middle East (Bahrain)
+ 中东（阿联酋）：
+ 南美洲（圣保罗）

## 为创建 VPC 终端节点 AWS 私有 CA
<a name="ecs-setting-up-vpc-create"></a>

您可以使用位于[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)或的 VPC 控制台为 AWS 私有 CA 服务创建 VPC 终端节点 AWS Command Line Interface。有关更多信息，请参阅 *Amazon VPC 用户指南*中的[创建接口终端节点](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)程序。 AWS 私有 CA 支持在您的 VPC 内调用其所有 API 操作。

如果您已为端点启用私有 DNS 主机名，则默认的 AWS 私有 CA 端点现在解析为您的 VPC 端点。有关默认服务终端节点的完整列表，请参阅[服务终端节点和配额](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html)。

如果您尚未启用私有 DNS 主机名，则 Amazon VPC 将提供一个您可以使用的 DNS 端点名称，格式如下：

```
vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
```

**注意**  
该值*region*表示所 AWS 私有 CA支持的 AWS 区域（例如`us-east-2`美国东部（俄亥俄州）地区的区域标识符。有关 AWS 私有 CA的列表，请参阅 [AWS Certificate Manager Private Certificate Authority 端点和配额](https://docs.aws.amazon.com/general/latest/gr/pca.html)。

有关更多信息，请参阅 *Amazon AWS 私有 CA VPC 用户指南中的 VPC* [终端节点 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)。

## 为创建 VPC 终端节点策略 AWS 私有 CA
<a name="api-private-link-policy"></a>

您可以为的 Amazon VPC 终端节点创建策略 AWS 私有 CA 以指定以下内容：
+ 可执行操作的主体
+ 可执行的操作
+ 可对其执行操作的资源

有关更多信息，请参阅 *Amazon VPC 指南*中的[使用 VPC 终端节点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。

**示例-用于 AWS 私有 CA 操作的 VPC 终端节点策略**  
当连接到终端节点时，以下策略向所有委托人授予对 AWS 私有 CA 操作`IssueCertificate`、、`DescribeCertificateAuthority``GetCertificate``GetCertificateAuthorityCertificate``ListPermissions`、和`ListTags`的访问权限。每个 Stanza 中的资源都是一个私有 CA。第一个 Stanza 授权使用指定的私有 CA 和证书模板创建终端实体证书。如果您不想控制要使用的模板，则不需要 `Condition` 部分。但是，删除此部分后将允许所有委托人创建 CA 证书以及终端实体证书。

```
{
      "Statement":[
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:IssueCertificate"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ],
            "Condition":{
               "StringEquals":{
                  "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
               }
            }
         },
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:DescribeCertificateAuthority",
               "acm-pca:GetCertificate",
               "acm-pca:GetCertificateAuthorityCertificate",
               "acm-pca:ListPermissions",
               "acm-pca:ListTags"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ]
         }
      ]
   }
```