本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 透過 VPC 端點連線至 AWS 付款密碼編譯
您可以透過虛擬私有雲端 (VPC) 中的私有介面端點直接連線至 AWS 付款密碼編譯。當您使用界面 VPC 端點時,VPC 與 AWS 付款密碼編譯之間的通訊會完全在 AWS 網路內進行。
AWS 付款密碼編譯支援採用 技術的 Amazon Virtual Private Cloud (Amazon VPC) 端點[AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/)。每個 VPC 端點皆會由一個或多個具私有 IP 地址[彈性網路界面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) (ENI) 來表示,而該界面位於 VPC 子網路中。
介面 VPC 端點會將您的 VPC 直接連線至 AWS 付款密碼編譯,無需網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址,即可與 AWS 付款密碼編譯通訊。
**大區 (Regions)**
AWS 支援付款密碼的所有 中 AWS 區域 都支援 VPC 端點和 VPC [AWS](https://docs.aws.amazon.com/general/latest/gr/payment-cryptography.html)端點政策。
**Topics**
+ [AWS 付款密碼編譯 VPC 端點的考量事項](#vpce-considerations)
+ [建立用於 AWS 付款密碼編譯的 VPC 端點](#vpce-create-endpoint)
+ [連線至 AWS 付款密碼編譯 VPC 端點](#vpce-connect)
+ [控制對 VPC 端點的存取](#vpce-policy)
+ [在政策陳述式中使用 VPC 端點](#vpce-policy-condition)
+ [記錄您的 VPC 端點](#vpce-logging)
## AWS 付款密碼編譯 VPC 端點的考量事項
**注意**
雖然 VPC 端點可讓您在 中連線至服務,只要一個可用區域 (AZ),但我們建議您連線至三個可用區域,以實現高可用性和備援目的。
在您設定 AWS 付款密碼編譯的介面 VPC 端點之前,請檢閱 *AWS PrivateLink 指南*中的[介面端點屬性和限制](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations)主題。
AWS VPC 端點的付款密碼編譯支援包括下列項目。
+ 您可以使用 VPC 端點從 VPC 呼叫所有[AWS 付款密碼編譯控制平面操作](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_Operations.html)和[AWS 付款密碼編譯資料平面操作](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_Operations.html)。
+ 您可以建立連線至 AWS 付款密碼編譯區域端點的介面 VPC 端點。
+ AWS 付款密碼編譯由控制平面和資料平面組成。您可以選擇設定一個或兩個子服務, AWS PrivateLink 但每個子服務都會分別設定。
+ 您可以使用 AWS CloudTrail 日誌,透過 VPC 端點稽核您對 AWS 付款密碼編譯金鑰的使用。如需詳細資訊,請參閱[記錄您的 VPC 端點](#vpce-logging)。
## 建立用於 AWS 付款密碼編譯的 VPC 端點
您可以使用 Amazon VPC 主控台或 Amazon VPC API 建立 AWS 付款密碼編譯的 VPC 端點。如需詳細資訊,請參閱《*AWS PrivateLink 指南*》中的「[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)」。
+ 若要為 AWS 付款密碼編譯建立 VPC 端點,請使用下列服務名稱:
```
com.amazonaws.{{region}}.payment-cryptography.controlplane
```
```
com.amazonaws.{{region}}.payment-cryptography.dataplane
```
例如,在美國西部 (奧勒岡) 區域 (`us-west-2`) 中,服務名稱為:
```
com.amazonaws.us-west-2.payment-cryptography.controlplane
```
```
com.amazonaws.us-west-2.payment-cryptography.dataplane
```
若要更輕鬆使用 VPC 端點,您可以為 VPC 端點啟用[私有 DNS 名稱](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html)。如果您選取**啟用 DNS 名稱**選項,標準 AWS 付款密碼編譯 DNS 主機名稱會解析為您的 VPC 端點。例如,`https://controlplane.payment-cryptography.us-west-2.amazonaws.com` 會解析為連接至服務名稱 `com.amazonaws.us-west-2.payment-cryptography.controlplane` 的 VPC 端點。
此選項可讓您更輕鬆使用 VPC 端點。根據預設, AWS SDKs 和 AWS CLI 會使用標準 AWS 付款密碼編譯 DNS 主機名稱,因此您不需要在應用程式和命令中指定 VPC 端點 URL。
如需詳細資訊,請參閱《AWS PrivateLink 指南》**中的[透過介面端點存取服務](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint)。
## 連線至 AWS 付款密碼編譯 VPC 端點
您可以使用 AWS SDK、 AWS CLI 或 ,透過 VPC 端點連線至 AWS 付款密碼編譯 AWS Tools for PowerShell。若要指定 VPC 端點,請使用它的 DNS 名稱。
例如,此 [list-keys](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/list-keys.html) 命令會使用 `endpoint-url` 參數來指定 VPC 端點。若要使用如下的命令,請將範例 VPC 端點 ID 換成您帳戶中的 ID。
```
$ aws payment-cryptography list-keys --endpoint-url {{https://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com}}
```
如果您在建立 VPC 端點時啟用私有主機名稱,則不需要在 CLI 命令或應用程式組態中指定 VPC 端點 URL。標準 AWS 付款密碼編譯 DNS 主機名稱會解析為您的 VPC 端點。 AWS CLI 和 SDKs預設使用此主機名稱,因此您可以開始使用 VPC 端點連線到 AWS 付款密碼編譯區域端點,而無需變更指令碼和應用程式中的任何內容。
若要使用私有主機名稱,您 VPC 的 `enableDnsHostnames` 和 `enableDnsSupport` 屬性必須設為 `true`。如需設定這些屬性,請使用 [ModifyVpcAttribute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcAttribute.html) 操作。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[檢視和更新 VPC 的 DNS 屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)。
## 控制對 VPC 端點的存取
若要控制 AWS 對付款密碼編譯之 VPC 端點的存取,請將 *VPC 端點政策*連接至您的 VPC 端點。端點政策會判斷主體是否可以使用 VPC 端點來呼叫具有特定 AWS 付款密碼編譯資源的 AWS 付款密碼編譯操作。
您可以在建立端點時建立 VPC 端點政策,並且可以隨時變更 VPC 端點政策。使用 VPC 管理主控台,或 [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html) 或 [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html) 操作。您也可以[使用 AWS CloudFormation 範本](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html)建立和變更 VPC 端點政策。如需有關如何使用 VPC 管理主控台的說明,請參閱《AWS PrivateLink 指南》**中的[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)和[修改介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#modify-interface-endpoint)。
如需撰寫及格式化 JSON 政策文件的說明,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
**Topics**
+ [關於 VPC 端點政策](#vpce-policy-about)
+ [預設 VPC 端點政策](#vpce-default-policy)
+ [建立 VPC 端點政策](#vpce-policy-create)
+ [檢視 VPC 端點政策](#vpce-policy-get)
### 關於 VPC 端點政策
若要讓使用 VPC 端點的 AWS 付款密碼編譯請求成功,委託人需要兩個來源的許可:
+ [身分型政策](security_iam_id-based-policy-examples.md)必須授予委託人許可,才能呼叫 資源上的 操作 (AWS 付款加密金鑰或別名)。
+ VPC 端點政策必須授予委託人許可,才能使用端點提出請求。
例如,金鑰政策可能會授予委託人在特定 AWS 付款密碼編譯金鑰上呼叫 [Decrypt](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_DecryptData.html) 的許可。不過,VPC 端點政策可能不允許該主體使用端點呼叫`Decrypt`該 AWS 付款密碼編譯金鑰。
或者,VPC 端點政策可能允許委託人使用端點,在某些 AWS 付款密碼編譯金鑰上呼叫 [StopKeyUsage](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_StopKeyUsage.html)。但是,如果委託人沒有來自 IAM 政策的這些許可,請求會失敗。
### 預設 VPC 端點政策
每個 VPC 端點都有 VPC 端點政策,但您不需要指定政策。如果您未指定政策,則預設端點政策會允許端點上所有資源的所有委託人進行所有操作。
不過,對於 AWS 付款密碼編譯資源,委託人也必須具有從 [IAM 政策](security_iam_id-based-policy-examples.md)呼叫 操作的許可。因此,實際上,預設政策指出,如果委託人具有對資源呼叫操作的許可,則其也可以使用端點來進行呼叫。
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
若要僅允許主體將 VPC 端點用於其允許操作的子集,請[建立或更新 VPC 端點政策](#vpce-policy-create)。
### 建立 VPC 端點政策
VPC 端點政策決定委託人是否具有使用 VPC 端點對資源執行操作的許可。對於 AWS 付款密碼編譯資源,委託人還必須具有從 [IAM 政策](security_iam_id-based-policy-examples.md)執行操作的許可。
每個 VPC 端點政策陳述式都需要下列元素:
+ 可執行動作的委託人
+ 可執行的動作
+ 可在其中執行動作的資源
政策陳述式不會指定 VPC 端點。相反地,它適用於連接政策的任何 VPC 端點。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。
以下是 AWS 付款密碼編譯的 VPC 端點政策範例。當連接到 VPC 端點時,此政策允許 `ExampleUser`使用 VPC 端點來呼叫指定 AWS 付款密碼編譯金鑰上的指定操作。使用這類政策之前,請將範例主體和[金鑰識別符](concepts.md#concepts.key-identifer)取代為您帳戶中的有效值。
```
{
"Statement":[
{
"Sid": "AllowDecryptAndView",
"Principal": {"AWS": "{{arn:aws:iam::111122223333:user/ExampleUser}}"},
"Effect":"Allow",
"Action": [
"payment-cryptography:Decrypt",
"payment-cryptography:GetKey",
"payment-cryptography:ListAliases",
"payment-cryptography:ListKeys",
"payment-cryptography:GetAlias"
],
"Resource": "{{arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h}}"
}
]
}
```
AWS CloudTrail 會記錄使用 VPC 端點的所有操作。不過,您的 CloudTrail 日誌不包含其他帳戶中主體請求的操作,或其他帳戶中 AWS 付款密碼編譯金鑰的操作。
因此,您可能想要建立 VPC 端點政策,以防止外部帳戶中的主體使用 VPC 端點來呼叫本機帳戶中任何金鑰的任何 AWS 付款密碼編譯操作。
下列範例使用 [aws:PrincipalAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalaccount) 全域條件金鑰,拒絕存取所有 AWS 付款密碼編譯金鑰上所有操作的所有主體,除非主體位於本機帳戶中。使用這類政策之前,請將範例帳戶 ID 取代為有效值。
```
{
"Statement": [
{
"Sid": "AccessForASpecificAccount",
"Principal": {"AWS": "*"},
"Action": "payment-cryptography:*",
"Effect": "Deny",
"Resource": "arn:aws:payment-cryptography:*:{{111122223333}}:key/*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "{{111122223333}}"
}
}
}
]
}
```
### 檢視 VPC 端點政策
若要檢視端點的 VPC 端點政策,請使用 [VPC 管理主控台](https://console.aws.amazon.com/vpc/)或 [DescribeVpcEndpoints](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html) 操作。
下列 AWS CLI 命令會取得具有指定 VPC 端點 ID 的端點政策。
使用此命令之前,請將範例端點 ID 取代為您帳戶的有效 ID。
```
$ aws ec2 describe-vpc-endpoints \
--query 'VpcEndpoints[?VpcEndpointId==`{{vpce-1234abcdf5678c90a}}`].[PolicyDocument]'
--output text
```
## 在政策陳述式中使用 VPC 端點
當請求來自 VPC 或使用 VPC 端點時,您可以控制對 AWS 付款密碼編譯資源和操作的存取。若要這樣做,請使用其中一個 [IAM 政策](security_iam_id-based-policy-examples.md)
+ 使用 `aws:sourceVpce` 條件索引鍵,以根據 VPC 端點來授予或限制存取。
+ 使用 `aws:sourceVpc` 條件索引鍵,以根據託管私有端點的 VPC 來授予或限制存取。
**注意**
當請求來自 [Amazon VPC 端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)時,`aws:sourceIP`條件金鑰無效。若要限制對 VPC 端點的請求,請使用 `aws:sourceVpce` 或 `aws:sourceVpc` 條件金鑰。如需詳細資訊,請參閱《AWS PrivateLink 指南》**中的[VPC 端點和 VPC 端點服務的身分與存取管理](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html)
您可以使用這些全域條件金鑰來控制對 AWS Payment Cryptography 金鑰、別名和 [CreateKey](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_CreateKey.html) 等操作的存取,這些操作不依賴於任何特定資源。
例如,以下範例金鑰政策允許使用者僅在請求使用指定的 VPC 端點時,使用 AWS 付款密碼編譯金鑰執行特定的密碼編譯操作,封鎖來自網際網路和 AWS PrivateLink 連線的存取 (如果設定)。當使用者向 AWS 付款密碼編譯提出請求時,請求中的 VPC 端點 ID 會與政策中的`aws:sourceVpce`條件索引鍵值進行比較。如果不相符,則會拒絕請求。
若要使用這類政策,請將預留位置 AWS 帳戶 ID 和 VPC 端點 IDs 取代為帳戶的有效值。
------
#### [ JSON ]
****
```
{
"Id": "example-key-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableIAMPolicies",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::{{111122223333}}:root"
]
},
"Action": [
"payment-cryptography:*"
],
"Resource": "*"
},
{
"Sid": "RestrictUsageToMyVPCEndpoint",
"Effect": "Deny",
"Principal": "*",
"Action": [
"payment-cryptography:EncryptData",
"payment-cryptography:DecryptData"
],
"Resource": "arn:aws:payment-cryptography:us-east-1:111122223333:key/*",
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "{{vpce-1234abcdf5678c90a}}"
}
}
}
]
}
```
------
您也可以使用 `aws:sourceVpc`條件金鑰,根據 VPC 端點所在的 VPC 限制對 AWS 付款密碼編譯金鑰的存取。
下列範例金鑰政策允許僅在金鑰來自 時才管理 AWS 付款密碼編譯金鑰的命令`vpc-12345678`。此外,它只允許使用 AWS 付款密碼編譯金鑰進行密碼編譯操作的命令來自 `vpc-2b2b2b2b`。如果應用程式在一個 VPC 中執行,但您使用第二個隔離的 VPC 來執行管理功能,您可能會使用如下的政策。
若要使用這類政策,請將預留位置 AWS 帳戶 ID 和 VPC 端點 IDs 取代為帳戶的有效值。
------
#### [ JSON ]
****
```
{
"Id": "example-key-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAdminActionsFrom{{VPC12345678}}",
"Effect": "Allow",
"Principal": {
"AWS": "{{111122223333}}"
},
"Action": [
"payment-cryptography:Create*",
"payment-cryptography:Encrypt*",
"payment-cryptography:ImportKey*",
"payment-cryptography:GetParametersForImport*",
"payment-cryptography:TagResource",
"payment-cryptography:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "{{vpc-12345678}}"
}
}
},
{
"Sid": "AllowKeyUsageFrom{{VPC2b2b2b2b}}",
"Effect": "Allow",
"Principal": {
"AWS": "{{111122223333}}"
},
"Action": [
"payment-cryptography:Encrypt*",
"payment-cryptography:Decrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpc": "{{vpc-2b2b2b2b}}"
}
}
},
{
"Sid": "AllowListReadActionsFromEverywhere",
"Effect": "Allow",
"Principal": {
"AWS": "{{111122223333}}"
},
"Action": [
"payment-cryptography:List*",
"payment-cryptography:Get*"
],
"Resource": "*"
}
]
}
```
------
## 記錄您的 VPC 端點
AWS CloudTrail 會記錄使用 VPC 端點的所有操作。當對 AWS 付款密碼編譯的請求使用 VPC 端點時,VPC 端點 ID 會出現在記錄請求的[AWS CloudTrail 日誌](monitoring-cloudtrail.md)項目中。您可以使用端點 ID 稽核 AWS 付款密碼編譯 VPC 端點的使用。
為了保護您的 VPC,[VPC 端點政策](#vpce-policy)拒絕的請求,但否則將允許,不會記錄在 中[AWS CloudTrail](monitoring-cloudtrail.md)。
例如,此範例日誌項目會記錄使用 VPC 端點的 [GenerateMac](https://docs.aws.amazon.com/payment-cryptography/latest/DataAPIReference/API_GenerateMac.html) 請求。`vpcEndpointId` 欄位出現在日誌項目結尾。
```
{
"eventVersion": "1.08",
"userIdentity": {
"principalId": "TESTXECZ5U9M4LGF2N6Y5:i-98761b8890c09a34a",
"arn": "arn:aws:sts::111122223333:assumed-role/samplerole/i-98761b8890c09a34a",
"accountId": "111122223333",
"accessKeyId": "TESTXECZ5U2ZULLHHMJG",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "TESTXECZ5U9M4LGF2N6Y5",
"arn": "arn:aws:iam::111122223333:role/samplerole",
"accountId": "111122223333",
"userName": "samplerole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-05-27T19:34:10Z",
"mfaAuthenticated": "false"
},
"ec2RoleDelivery": "2.0"
}
},
"eventTime": "2024-05-27T19:49:54Z",
"eventSource": "payment-cryptography.amazonaws.com",
"eventName": "CreateKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.31.85.253",
"userAgent": "aws-cli/2.14.5 Python/3.9.16 Linux/6.1.79-99.167.amzn2023.x86_64 source/x86_64.amzn.2023 prompt/off command/payment-cryptography.create-key",
"requestParameters": {
"keyAttributes": {
"keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
"keyClass": "SYMMETRIC_KEY",
"keyAlgorithm": "TDES_2KEY",
"keyModesOfUse": {
"encrypt": false,
"decrypt": false,
"wrap": false,
"unwrap": false,
"generate": true,
"sign": false,
"verify": true,
"deriveKey": false,
"noRestrictions": false
}
},
"exportable": true
},
"responseElements": {
"key": {
"keyArn": "arn:aws:payment-cryptography:us-east-2:111122223333:key/kwapwa6qaifllw2h",
"keyAttributes": {
"keyUsage": "TR31_M1_ISO_9797_1_MAC_KEY",
"keyClass": "SYMMETRIC_KEY",
"keyAlgorithm": "TDES_2KEY",
"keyModesOfUse": {
"encrypt": false,
"decrypt": false,
"wrap": false,
"unwrap": false,
"generate": true,
"sign": false,
"verify": true,
"deriveKey": false,
"noRestrictions": false
}
},
"keyCheckValue": "A486ED",
"keyCheckValueAlgorithm": "ANSI_X9_24",
"enabled": true,
"exportable": true,
"keyState": "CREATE_COMPLETE",
"keyOrigin": "AWS_PAYMENT_CRYPTOGRAPHY",
"createTimestamp": "May 27, 2024, 7:49:54 PM",
"usageStartTimestamp": "May 27, 2024, 7:49:54 PM"
}
},
"requestID": "f3020b3c-4e86-47f5-808f-14c7a4a99161",
"eventID": "b87c3d30-f3ab-4131-87e8-bc54cfef9d29",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"vpcEndpointId": "vpce-1234abcdf5678c90a",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "vpce-1234abcdf5678c90a-oo28vrvr.controlplane.payment-cryptography.us-east-1.vpce.amazonaws.com"
}
}
```