AWS 私有 CA VPC 端端點 ()AWS PrivateLink - AWS Private Certificate Authority
AWS 私有 CA VPC 端點的考量為下列項目建立 VPC 端點 AWS 私有 CA建立 AWS 私有 CA的 VPC 端點政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 私有 CA VPC 端端點 ()AWS PrivateLink

您可以在 VPC 之間建立私人連線,並 AWS 私有 CA 透過設定介面 VPC 端點來建立私人連線。接口端點由AWS PrivateLink一種用於私有訪問 AWS 私有 CA API 操作的技術提供支持。 AWS PrivateLink AWS 私有 CA 透過您的 VPC 和 Amazon 網路路由所有網路流量,避免暴露在開放的網際網路上。每個 VPC 端點皆會由一個或多個具私有 IP 地址彈性網路界面來表示,而該界面位於 VPC 子網路中。

介面 VPC 端點可直接將您的 VPC 連線到 AWS 私有 CA 沒有網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的執行個體不需要公有 IP 位址即可與 AWS 私有 CA API 通訊。

若要 AWS 私有 CA 透過 VPC 使用,您必須從 VPC 內的執行個體進行連線。或者,您可以使用 AWS Virtual Private Network (AWS VPN) 或 AWS Direct Connect將私人網路連線到 VPC。如需相關資訊 AWS VPN,請參閱 Amazon VPC 使用者指南中的 VPN 連線。若要取得有關資訊 AWS Direct Connect,請參閱《使用指南》中的AWS Direct Connect 〈建立連接

AWS 私有 CA 不需要使用 AWS PrivateLink,但我們建議您將其作為額外的安全層。如需 AWS PrivateLink 和 VPC 端點的詳細資訊,請參閱透過 AWS PrivateLink存取服務

AWS 私有 CA VPC 端點的考量

在設定的介面 VPC 端點之前 AWS 私有 CA,請注意下列考量事項:

  • AWS 私有 CA 可能不支援某些可用區域中的 VPC 端點。建立 VPC 端點時,請先在管理主控台中檢查支援。不支援的可用性區域會標示為「此可用區域不支援服務」。

  • VPC 端點不支援跨區域請求。請確實在計劃發出 AWS 私有 CA API 呼叫的相同區域中建立端點。

  • VPC 端點僅支援 Amazon 透過 Amazon 路線 53 提供的 DNS。如果您想要使用自己的 DNS,您可以使用條件式 DNS 轉送。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的 DHCP 選項集

  • 連接到 VPC 端點的安全群組,必須允許從 VPC 的私有子網路,透過 443 埠傳入的連線。

  • AWS Certificate Manager 不支援 VPC 端點。

  • FIPS 端點 (及其區域) 不支援 VPC 端點。

AWS 私有 CA API 目前支援下列各項的 VPC 端點: AWS 區域

  • 美國東部 (俄亥俄)

  • 美國東部 (維吉尼亞北部)

  • 美國西部 (加利佛尼亞北部)

  • 美國西部 (奧勒岡)

  • 非洲 (開普敦)

  • 亞太區域 (香港)

  • 亞太區域 (孟買)

  • 亞太區域 (大阪)

  • 亞太區域 (首爾)

  • 亞太區域 (新加坡)

  • 亞太區域 (雪梨)

  • 亞太區域 (東京)

  • 加拿大 (中部)

  • 歐洲 (法蘭克福)

  • 歐洲 (愛爾蘭)

  • 歐洲 (倫敦)

  • 歐洲 (巴黎)

  • 歐洲 (斯德哥爾摩)

  • 歐洲 (米蘭)

  • 以色列 (特拉維夫)

  • Middle East (Bahrain)

  • 南美洲 (聖保羅)

為下列項目建立 VPC 端點 AWS 私有 CA

您可以使用 VPC 私人 VPC 主控台 https://console.aws.amazon.com/vpc/ 或. AWS 私有 CA AWS Command Line Interface如需詳細資訊,請參閱 Amazon VPC 使用者指南中的建立介面端點程序。 AWS 私有 CA 支援在 VPC 內呼叫其所有 API 作業。

如果您已為端點啟用私人 DNS 主機名稱,則預設 AWS 私有 CA 端點現在會解析為您的 VPC 端點。如需預設服務端點的完整清單,請參閱服務端點和配額

如果您尚未啟用私人 DNS 主機名稱,Amazon VPC 會提供 DNS 端點名稱,您可以使用下列格式:

vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
注意

區域代表支援之區域的 AWS 地區識別碼 AWS 私有 CA,us-east-2例如美國東部 (俄亥俄) 區域。如需的清單 AWS 私有 CA,請參閱 Cer AWS tificate Manager 私人憑證授權單位端點和配額

如需詳細資訊,請參閱 Amazon AWS 私有 CA VPC 使用者指南中的 VPC 端點 (AWS PrivateLink)

您可以為的 Amazon VPC 端點建立政策,以指 AWS 私有 CA 定下列項目:

  • 可執行動作的委託人

  • 可執行的動作

  • 可在其中執行動作的資源

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制服務的存取

範例 — 用於動作的 VPC 端點原則 AWS 私有 CA

連接至端點時,下列策略會授與所有主參與者對動 AWS 私有 CA 作IssueCertificate、、DescribeCertificateAuthorityGetCertificateGetCertificateAuthorityCertificateListPermissions、和ListTags的存取權。每一節中的資源都是私有 CA。第一節會授權使用指定的私有 CA 和憑證範本建立終端實體憑證。如果您不想要控制使用的範本,則不需要 Condition 區段。但是,移除此區段會允許所有委託人建立 CA 憑證及終端實體憑證。

{
      "Statement":[
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:IssueCertificate"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ],
            "Condition":{
               "StringEquals":{
                  "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
               }
            }
         },
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:DescribeCertificateAuthority",
               "acm-pca:GetCertificate",
               "acm-pca:GetCertificateAuthorityCertificate",
               "acm-pca:ListPermissions",
               "acm-pca:ListTags"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ]
         }
      ]
   }