Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Conector para puntos finales de VPC SCEP ()AWS PrivateLink
Puede crear una conexión privada entre la VPC y Connector for SCEP configurando un punto final de la interfaz de la VPC. Los puntos finales de la interfaz funcionan con una tecnología que permite acceder de AWS PrivateLinkforma privada a las operaciones de la API de Connector for SCEP. AWS PrivateLink enruta todo el tráfico de red entre su VPC y Connector for SCEP a través de la red Amazon, lo que evita la exposición en Internet abierta. Cada punto de enlace de la VPC está representado por una o varias interfaces de red elástica con direcciones IP privadas en las subredes de la VPC.
El punto final de la interfaz de la VPC conecta la VPC directamente a Connector for SCEP sin necesidad de una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. Direct Connect Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con la API de Connector for SCEP.
Para usar Connector for SCEP a través de la VPC, debe conectarse desde una instancia que esté dentro de la VPC. Como alternativa, puede conectar la red privada a la VPC mediante un AWS Virtual Private Network (Site-to-Site VPN) o. Direct Connect Para obtener más información Site-to-Site VPN, consulte Conexiones VPN en la Guía del usuario de Amazon VPC. Para obtener información acerca de Direct Connect, consulte Creación de una conexión en la Guía del usuario de Direct Connect .
El conector para SCEP no requiere el uso de AWS PrivateLink, pero lo recomendamos como capa de seguridad adicional. Para obtener más información sobre AWS PrivateLink los puntos de enlace de la VPC, consulte Acceder a los servicios mediante. AWS PrivateLink
Consideraciones sobre el conector para puntos finales de VPC SCEP
Antes de configurar los puntos finales de la interfaz de VPC para Connector for SCEP, tenga en cuenta las siguientes consideraciones:
-
Es posible que Connector for SCEP no admita puntos de enlace de VPC en algunas zonas de disponibilidad. Cuando cree un punto de conexión de VPC, compruebe primero el soporte en la consola de administración. Las zonas de disponibilidad no compatibles aparecen marcadas como “Service not supported in this Availability Zone” (El servicio no es compatible en esta zona de disponibilidad).
-
Los puntos de conexión de VPC no admiten las solicitudes entre regiones. Asegúrese de crear el punto final en la misma región en la que creó el conector.
-
Los puntos de conexión de VPC solo admiten DNS proporcionadas por Amazon a través de Amazon Route 53. Si desea utilizar su propio DNS, puede utilizar el enrutamiento de DNS condicional. Para obtener más información, consulte Conjuntos de opciones de DHCP en la Guía del usuario de Amazon VPC.
-
El grupo de seguridad asociado al punto de conexión de la VPC debe permitir las conexiones entrantes en el puerto 443 desde la subred privada de la VPC.
Creación del punto final de VPC para Connector for SCEP
Puede crear un punto final de VPC para el servicio Connector for SCEP mediante la consola de VPC en o la. https://console.aws.amazon.com/vpc/
Al crear el punto final, especifíquelo com.amazonaws. como nombre del servicio.region.pca-connector-scep
Si ha habilitado los nombres de host DNS privados para el punto final, el punto final predeterminado de Connector for SCEP pasa ahora a ser su punto final de VPC. Para obtener una lista completa de los puntos de conexión de servicio predeterminados, consulte Puntos de enlace de servicio y cuotas.
Si no ha habilitado nombres de host de DNS privados, Amazon VPC proporciona un nombre de punto de conexión de DNS que puede utilizar en el siguiente formato:
vpc-endpoint-id.pca-connector-scep.region.vpce.amazonaws.com
Para obtener más información, consulte los puntos de enlace de la VPC (AWS PrivateLink) en la Guía del usuario de Amazon VPC.
Cree una política de puntos finales de VPC para Connector for SCEP
Puede crear una política para los puntos de enlace de Amazon VPC para Connector for SCEP para especificar lo siguiente:
-
La entidad principal que puede realizar acciones
-
Las acciones que se pueden realizar
-
Los recursos en los que se pueden llevar a cabo las acciones
Para obtener más información, consulte Control del acceso a los servicios con puntos de enlace de VPC en la Guía de Amazon VPC.
Ejemplo: política de puntos finales de VPC para acciones de Connector for SCEP
Cuando se conecta a un punto final, la siguiente política otorga acceso a todos los principales al conector que aparece en la lista para realizar acciones del SCEP en el recurso de conector especificado.
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "pca-connector-scep:GetConnector", "pca-connector-scep:ListConnectors" ], "Resource": "arn:aws:pca-connector-scep:region:account:connector/connector-id" } ] }
Creación de un punto final de VPC para las operaciones de inscripción de Connector para SCEP
Connector for SCEP proporciona un servicio de punto final de VPC independiente para operaciones de inscripción como GetCACaps y. PKIOperation
Al crear el punto final de inscripción, especifíquelo com.amazonaws. como nombre del servicio.region.pca-connector-scep.enroll
Al crear un conector, si lo desea, puede especificar un VpcEndpointId para restringir el conector para que solo sea accesible a través de ese punto final de VPC específico.
Si no ha habilitado nombres de host de DNS privados, Amazon VPC proporciona un nombre de punto de conexión de DNS que puede utilizar en el siguiente formato:
vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com
nota
Para acceder al conector, debes usar la URL del punto de conexión incluida en los detalles del conector, no el nombre DNS del punto de conexión de la VPC directamente. Sin embargo, puede reemplazar la parte del nombre DNS de la URL del punto de conexión por cualquier nombre de DNS del punto de conexión de la VPC válido, como un nombre DNS específico de AZ.
Por ejemplo, para usar un nombre DNS específico para la zona de disponibilidad, puedes sustituirlo
https://vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
por
https://vpc-endpoint-id-availability-zone.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
Ejemplo: política de puntos finales de VPC para operaciones de inscripción de Connector para SCEP
Puede adjuntar una política de puntos finales de VPC para controlar el acceso a las operaciones de inscripción. Cuando se conecta a un punto final, la siguiente política otorga acceso a todos los directores a las operaciones GetCACaps yPKIOperation. El recurso de la estrofa es un conector.
Las operaciones de inscripción de Connector for SCEP no se autentican con SiGv4. Debido a esto, no están asociados a un principal de IAM y, en cambio, las políticas de puntos finales de la VPC los consideran anónimos. Por lo tanto, su política de puntos finales de VPC debe permitir que todos los principales realicen estas acciones.
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "pca-connector-scep:GetCACaps", "pca-connector-scep:GetCACert", "pca-connector-scep:PKIOperation" ], "Resource": [ arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566] } ] }
