Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Connecteur pour points de terminaison VPC SCEP ()AWS PrivateLink
Vous pouvez créer une connexion privée entre votre VPC et Connector for SCEP en configurant un point de terminaison VPC d'interface. Les points de terminaison de l'interface sont alimentés par AWS PrivateLinkune technologie d'accès privé à Connector pour les opérations d'API SCEP. AWS PrivateLink achemine tout le trafic réseau entre votre VPC et Connector for SCEP via le réseau Amazon, évitant ainsi toute exposition sur Internet ouvert. Chaque point de terminaison d'un VPC est représenté par une ou plusieurs interfaces réseau Elastic avec des adresses IP privées dans vos sous-réseaux VPC.
Le point de terminaison VPC de l'interface connecte votre VPC directement à Connector for SCEP sans passerelle Internet, périphérique NAT, connexion VPN ou connexion. Direct Connect Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec l'API Connector for SCEP.
Pour utiliser Connector for SCEP via votre VPC, vous devez vous connecter à partir d'une instance située à l'intérieur du VPC. Vous pouvez également connecter votre réseau privé à votre VPC à l'aide d'un AWS Virtual Private Network (Site-to-Site VPN) ou. Direct Connect Pour plus d'informations Site-to-Site VPN, consultez la section Connexions VPN dans le guide de l'utilisateur Amazon VPC. Pour obtenir des informations sur Direct Connect, consultez Création d'une connexion dans le Guide de l'utilisateur Direct Connect .
Le connecteur pour SCEP ne nécessite pas l'utilisation de AWS PrivateLink, mais nous le recommandons comme couche de sécurité supplémentaire. Pour plus d'informations sur les points AWS PrivateLink de terminaison VPC, consultez la section Accès aux services via. AWS PrivateLink
Considérations relatives au connecteur pour les points de terminaison VPC SCEP
Avant de configurer les points de terminaison VPC d'interface pour Connector for SCEP, tenez compte des considérations suivantes :
-
Le connecteur pour SCEP peut ne pas prendre en charge les points de terminaison VPC dans certaines zones de disponibilité. Lorsque vous créez un point de terminaison VPC, vérifiez d'abord le support dans la console de gestion. Les zones de disponibilité non prises en charge sont marquées « Service non pris en charge dans cette zone de disponibilité ».
-
Les points de terminaison d'un VPC ne prennent pas en charge les demandes inter-régionales. Assurez-vous de créer votre point de terminaison dans la même région que celle dans laquelle vous créez votre connecteur.
-
Les points de terminaison VPC prennent uniquement en charge le DNS fourni par Amazon via Amazon Route 53. Si vous souhaitez utiliser votre propre DNS, vous pouvez utiliser le transfert DNS conditionnel. Pour en savoir plus, consultez Jeux d'options DHCP dans le Guide de l'utilisateur Amazon VPC.
-
Le groupe de sécurité attaché au point de terminaison d'un VPC doit autoriser les connexions entrantes sur le port 443 à partir du sous-réseau privé du VPC.
Création du point de terminaison VPC pour Connector for SCEP
Vous pouvez créer un point de terminaison VPC pour le service Connector for SCEP à l'aide de la console VPC sur ou du. https://console.aws.amazon.com/vpc/
Lors de la création du point de terminaison, spécifiez-le com.amazonaws. comme nom du service.region.pca-connector-scep
Si vous avez activé les noms d'hôte DNS privés pour le point de terminaison, le connecteur par défaut pour le point de terminaison SCEP correspond désormais à votre point de terminaison VPC. Pour obtenir une liste complète des points de terminaison de service par défaut, veuillez consulter Points de terminaison et quotas de service.
Si vous n'avez pas activé les noms d'hôte DNS privés, Amazon VPC fournit un nom de point de terminaison DNS que vous pouvez utiliser au format suivant :
vpc-endpoint-id.pca-connector-scep.region.vpce.amazonaws.com
Pour plus d'informations, consultez la section Points de terminaison VPC (AWS PrivateLink) dans le guide de l'utilisateur Amazon VPC.
Création d'une politique de point de terminaison VPC pour Connector for SCEP
Vous pouvez créer une politique pour les points de terminaison Amazon VPC pour Connector for SCEP afin de spécifier les éléments suivants :
-
Le principal qui peut exécuter des actions.
-
Les actions qui peuvent être effectuées.
-
Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d'informations, consultez la section Contrôle de l'accès aux services avec des points de terminaison VPC dans le guide Amazon VPC.
Exemple — Politique de point de terminaison VPC pour les actions Connector for SCEP
Lorsqu'il est connecté à un point de terminaison, la politique suivante accorde l'accès à tous les principaux au connecteur répertorié pour les actions SCEP sur la ressource de connecteur spécifiée.
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "pca-connector-scep:GetConnector", "pca-connector-scep:ListConnectors" ], "Resource": "arn:aws:pca-connector-scep:region:account:connector/connector-id" } ] }
Création d'un point de terminaison VPC pour les opérations d'inscription de Connector for SCEP
Connector for SCEP fournit un service de point de terminaison VPC distinct pour les opérations d'inscription telles que GetCACaps et. PKIOperation
Lors de la création du point de terminaison d'inscription, spécifiez-le com.amazonaws. comme nom du service.region.pca-connector-scep.enroll
Lorsque vous créez un connecteur, vous pouvez éventuellement spécifier un VpcEndpointId pour limiter l'accès au connecteur uniquement via ce point de terminaison VPC spécifique.
Si vous n'avez pas activé les noms d'hôte DNS privés, Amazon VPC fournit un nom de point de terminaison DNS que vous pouvez utiliser au format suivant :
vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com
Note
Pour accéder à votre connecteur, vous devez utiliser l'URL du point de terminaison incluse dans les détails du connecteur, et non directement le nom DNS du point de terminaison VPC. Toutefois, vous pouvez remplacer la partie du nom DNS de l'URL du point de terminaison du connecteur par n'importe quel nom DNS de point de terminaison VPC valide, tel qu'un nom DNS spécifique à AZ.
Par exemple, pour utiliser un nom DNS spécifique à AZ, vous pouvez remplacer
https://vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
avec
https://vpc-endpoint-id-availability-zone.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
Exemple — Politique de point de terminaison VPC pour Connector pour les opérations d'inscription au SCEP
Vous pouvez associer une politique de point de terminaison VPC pour contrôler l'accès aux opérations d'inscription. Lorsqu'il est connecté à un point de terminaison, la politique suivante accorde l'accès à tous les principaux aux PKIOperation opérations GetCACaps et. La ressource de la strophe est un connecteur.
Les opérations d'inscription du connecteur pour le SCEP ne sont pas authentifiées avec SigV4. De ce fait, ils ne sont pas associés à un principal IAM et sont considérés comme anonymes par les politiques de point de terminaison des VPC. Par conséquent, votre politique de point de terminaison VPC doit autoriser tous les principes pour ces actions.
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "pca-connector-scep:GetCACaps", "pca-connector-scep:GetCACert", "pca-connector-scep:PKIOperation" ], "Resource": [ arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566] } ] }
