Konektor untuk titik akhir VPC SCEP ()AWS PrivateLink - AWS Private Certificate Authority
Pertimbangan untuk Konektor untuk titik akhir VPC SCEPMembuat titik akhir VPC untuk Konektor untuk SCEPMembuat kebijakan titik akhir VPC untuk Konektor untuk SCEPMembuat titik akhir VPC untuk Konektor untuk operasi pendaftaran SCEP

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konektor untuk titik akhir VPC SCEP ()AWS PrivateLink

Anda dapat membuat koneksi pribadi antara VPC dan Konektor untuk SCEP dengan mengonfigurasi titik akhir VPC antarmuka. Endpoint antarmuka didukung oleh AWS PrivateLink, sebuah teknologi untuk mengakses Konektor secara pribadi untuk operasi API SCEP. AWS PrivateLink merutekan semua lalu lintas jaringan antara VPC dan Konektor Anda untuk SCEP melalui jaringan Amazon, menghindari paparan di internet terbuka. Setiap titik akhir VPC diwakili oleh satu atau lebih antarmuka jaringan elastis dengan alamat IP pribadi di subnet VPC Anda.

Titik akhir VPC antarmuka menghubungkan VPC Anda langsung ke Konektor untuk SCEP tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan Connector for SCEP API.

Untuk menggunakan Connector for SCEP melalui VPC Anda, Anda harus terhubung dari instance yang ada di dalam VPC. Atau, Anda dapat menghubungkan jaringan pribadi Anda ke VPC Anda dengan menggunakan AWS Virtual Private Network (Site-to-Site VPN) atau. Direct Connect Untuk selengkapnya Site-to-Site VPN, lihat Koneksi VPN di Panduan Pengguna Amazon VPC. Untuk informasi tentang Direct Connect, lihat Membuat hubungan di Panduan Pengguna Direct Connect .

Konektor untuk SCEP tidak memerlukan penggunaan AWS PrivateLink, tetapi kami merekomendasikannya sebagai lapisan keamanan tambahan. Untuk informasi selengkapnya tentang AWS PrivateLink dan titik akhir VPC, lihat Mengakses Layanan Melalui. AWS PrivateLink

Pertimbangan untuk Konektor untuk titik akhir VPC SCEP

Sebelum Anda mengatur titik akhir VPC antarmuka untuk Konektor untuk SCEP, perhatikan pertimbangan berikut:

  • Konektor untuk SCEP mungkin tidak mendukung titik akhir VPC di beberapa Availability Zone. Saat Anda membuat VPC endpoint, periksa terlebih dahulu dukungan di konsol manajemen. Availability Zone yang tidak didukung ditandai "Layanan tidak didukung di Availability Zone ini".

  • VPC endpoint saat ini tidak mendukung permintaan lintas Wilayah. Pastikan Anda membuat titik akhir di Wilayah yang sama tempat Anda membuat konektor.

  • VPC endpoint hanya support Amazon yang disediakan DNS melalui Amazon Route 53. Jika Anda ingin menggunakan DNS Anda sendiri, Anda dapat menggunakan penerusan DNS bersyarat. Untuk informasi selengkapnya, lihat Pengaturan DHCP dalam Panduan Pengguna Amazon VPC.

  • Grup keamanan yang dilampirkan ke VPC endpoint harus mengizinkan koneksi masuk pada port 443 dari subnet privat VPC.

Membuat titik akhir VPC untuk Konektor untuk SCEP

Anda dapat membuat titik akhir VPC untuk layanan Connector for SCEP menggunakan konsol VPC di atau. https://console.aws.amazon.com/vpc/ AWS Command Line Interface Untuk informasi selengkapnya, lihat prosedur Pembuatan Titik Akhir Antarmuka di Panduan Pengguna Amazon VPC. Konektor untuk SCEP mendukung panggilan ke semua operasi API-nya di dalam VPC Anda.

Saat membuat titik akhir, tentukan com.amazonaws.region.pca-connector-scep sebagai nama layanan.

Jika Anda telah mengaktifkan nama host DNS pribadi untuk titik akhir, maka Konektor default untuk titik akhir SCEP sekarang diselesaikan ke titik akhir VPC Anda. Untuk daftar lengkap titik akhir layanan default, lihat Titik Akhir dan Kuota Layanan.

Jika Anda belum mengaktifkan nama host DNS privat, Amazon VPC menyediakan nama titik akhir DNS yang dapat Anda gunakan dalam format berikut:

vpc-endpoint-id.pca-connector-scep.region.vpce.amazonaws.com

Untuk informasi selengkapnya, lihat Titik akhir VPC (AWS PrivateLink) di Panduan Pengguna Amazon VPC.

Membuat kebijakan titik akhir VPC untuk Konektor untuk SCEP

Anda dapat membuat kebijakan untuk titik akhir VPC Amazon untuk Connector for SCEP untuk menentukan hal berikut:

  • Prinsip-prinsip yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan

  • Sumber daya yang padanya tindakan dapat dilakukan

Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan Titik Akhir VPC di Panduan VPC Amazon.

Contoh - Kebijakan titik akhir VPC untuk Konektor untuk tindakan SCEP

Saat dilampirkan ke titik akhir, kebijakan berikut memberikan akses untuk semua prinsipal ke Konektor yang terdaftar untuk tindakan SCEP pada sumber daya konektor yang ditentukan.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "pca-connector-scep:GetConnector",
            "pca-connector-scep:ListConnectors"
         ],
         "Resource": "arn:aws:pca-connector-scep:region:account:connector/connector-id"
      }
   ]
}

Membuat titik akhir VPC untuk Konektor untuk operasi pendaftaran SCEP

Konektor untuk SCEP menyediakan layanan endpoint VPC terpisah untuk operasi pendaftaran seperti dan. GetCACaps PKIOperation

Saat membuat titik akhir pendaftaran, tentukan com.amazonaws.region.pca-connector-scep.enroll sebagai nama layanan.

Saat membuat konektor, Anda dapat secara opsional menentukan a VpcEndpointId untuk membatasi konektor agar hanya dapat diakses melalui titik akhir VPC tertentu.

Jika Anda belum mengaktifkan nama host DNS privat, Amazon VPC menyediakan nama titik akhir DNS yang dapat Anda gunakan dalam format berikut:

vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com
catatan

Untuk mencapai konektor Anda, Anda harus menggunakan URL titik akhir yang disertakan dalam detail konektor, bukan nama DNS titik akhir VPC secara langsung. Namun, Anda dapat mengganti bagian nama DNS dari URL titik akhir konektor dengan nama DNS titik akhir VPC yang valid, seperti nama DNS khusus AZ.

Misalnya, untuk menggunakan nama DNS khusus AZ, Anda dapat mengganti 

https://vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID

dengan 

https://vpc-endpoint-id-availability-zone.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
Contoh - Kebijakan titik akhir VPC untuk Konektor untuk operasi pendaftaran SCEP

Anda dapat melampirkan kebijakan titik akhir VPC untuk mengontrol akses ke operasi pendaftaran. Ketika dilampirkan ke titik akhir, kebijakan berikut memberikan akses untuk semua kepala sekolah ke dan operasi. GetCACaps PKIOperation Sumber daya dalam bait adalah konektor.

Konektor untuk operasi pendaftaran SCEP tidak diautentikasi dengan SigV4. Karena ini, mereka tidak terkait dengan prinsipal IAM dan sebagai gantinya dianggap anonim oleh kebijakan titik akhir VPC. Dengan demikian, kebijakan titik akhir VPC Anda harus mengizinkan semua prinsip untuk tindakan ini.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "pca-connector-scep:GetCACaps",
            "pca-connector-scep:GetCACert",
            "pca-connector-scep:PKIOperation"
         ],
         "Resource": [
            arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566
         ]
      }
   ]
}