Connettore per endpoint VPC SCEP ()AWS PrivateLink - AWS Autorità di certificazione privata
Considerazioni sul connettore per endpoint VPC SCEPCreazione dell'endpoint VPC per Connector for SCEPCrea una policy per gli endpoint VPC per Connector for SCEPCreazione di un endpoint VPC per le operazioni di registrazione di Connector for SCEP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connettore per endpoint VPC SCEP ()AWS PrivateLink

Puoi creare una connessione privata tra il tuo VPC e Connector for SCEP configurando un endpoint VPC di interfaccia. Gli endpoint di interfaccia sono alimentati da AWS PrivateLink, una tecnologia per l'accesso privato alle operazioni dell'API Connector for SCEP. AWS PrivateLink indirizza tutto il traffico di rete tra il tuo VPC e Connector for SCEP attraverso la rete Amazon, evitando l'esposizione su Internet aperto. Ogni endpoint VPC è rappresentato da una o più interfacce di rete elastiche con indirizzi IP privati nelle sottoreti del VPC.

L'endpoint VPC dell'interfaccia collega il tuo VPC direttamente a Connector for SCEP senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Le istanze del tuo VPC non necessitano di indirizzi IP pubblici per comunicare con l'API Connector for SCEP.

Per utilizzare Connector for SCEP tramite il tuo VPC, devi connetterti da un'istanza che si trova all'interno del VPC. In alternativa, puoi connettere la tua rete privata al tuo VPC utilizzando un AWS Virtual Private Network (Site-to-Site VPN) o. Direct Connect Per informazioni in merito Site-to-Site VPN, consulta Connessioni VPN nella Guida per l'utente di Amazon VPC. Per informazioni su Direct Connect, consultare Creazione di una connessione nella Guida per l'utente di Direct Connect .

Connector for SCEP non richiede l'uso di AWS PrivateLink, ma lo consigliamo come ulteriore livello di sicurezza. Per ulteriori informazioni sugli AWS PrivateLink endpoint VPC, consulta Accesso ai servizi tramite. AWS PrivateLink

Considerazioni sul connettore per endpoint VPC SCEP

Prima di configurare gli endpoint VPC di interfaccia per Connector for SCEP, tieni presente le seguenti considerazioni:

  • Il connettore per SCEP potrebbe non supportare gli endpoint VPC in alcune zone di disponibilità. Quando crei un endpoint VPC, verifica innanzitutto il supporto nella console di gestione. Le zone di disponibilità non supportate sono contrassegnate come «Servizio non supportato in questa zona di disponibilità».

  • Gli endpoint VPC non supportano le richieste tra regioni. Assicurati di creare l'endpoint nella stessa regione in cui hai creato il connettore.

  • Gli endpoint VPC supportano solo il DNS fornito da Amazon tramite Amazon Route 53. Se si desidera utilizzare il proprio DNS, è possibile usare l'inoltro condizionale sul DNS. Per ulteriori informazioni, consulta Set opzioni DHCP nella Guida per l'utente di Amazon VPC.

  • Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta 443 dalla sottorete privata del VPC.

Creazione dell'endpoint VPC per Connector for SCEP

È possibile creare un endpoint VPC per il servizio Connector for SCEP utilizzando la console VPC presso o il. https://console.aws.amazon.com/vpc/ AWS Command Line Interface Per ulteriori informazioni, consulta la procedura Creating an Interface Endpoint nella Amazon VPC User Guide. Connector for SCEP supporta l'esecuzione di chiamate a tutte le sue operazioni API all'interno del tuo VPC.

Quando crei l'endpoint, specifica com.amazonaws.region.pca-connector-scep come nome del servizio.

Se hai abilitato i nomi host DNS privati per l'endpoint, l'endpoint Connector for SCEP predefinito ora si risolve nel tuo endpoint VPC. Per un elenco completo degli endpoint di servizio predefiniti, consulta Endpoint e quote del servizio.

Se non hai abilitato i nomi host DNS privati, Amazon VPC fornisce un nome di endpoint DNS che puoi utilizzare nel seguente formato:

vpc-endpoint-id.pca-connector-scep.region.vpce.amazonaws.com

Per ulteriori informazioni, consulta VPC endpoints (AWS PrivateLink) nella Amazon VPC User Guide.

Crea una policy per gli endpoint VPC per Connector for SCEP

Puoi creare una policy per gli endpoint Amazon VPC for Connector for SCEP per specificare quanto segue:

  • Il principale che può eseguire operazioni.

  • Le azioni che possono essere eseguite

  • Le risorse sui cui si possono eseguire le azioni

Per ulteriori informazioni, consulta Controlling Access to Services with VPC Endpoints nella Amazon VPC Guide.

Esempio: policy degli endpoint VPC per le azioni Connector for SCEP

Se collegata a un endpoint, la seguente politica concede l'accesso a tutti i principali alle azioni elencate di Connector for SCEP sulla risorsa Connector specificata.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "pca-connector-scep:GetConnector",
            "pca-connector-scep:ListConnectors"
         ],
         "Resource": "arn:aws:pca-connector-scep:region:account:connector/connector-id"
      }
   ]
}

Creazione di un endpoint VPC per le operazioni di registrazione di Connector for SCEP

Connector for SCEP fornisce un servizio endpoint VPC separato per operazioni di registrazione come e. GetCACaps PKIOperation

Quando crei l'endpoint di registrazione, specifica come nome del servizio. com.amazonaws.region.pca-connector-scep.enroll

Quando crei un connettore, puoi facoltativamente specificare VpcEndpointId a per limitare l'accessibilità del connettore solo tramite quell'endpoint VPC specifico.

Se non hai abilitato i nomi host DNS privati, Amazon VPC fornisce un nome di endpoint DNS che puoi utilizzare nel seguente formato:

vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com
Nota

Per raggiungere il connettore, è necessario utilizzare l'URL dell'endpoint incluso nei dettagli del connettore, non direttamente il nome DNS dell'endpoint VPC. Tuttavia, puoi sostituire la parte del nome DNS dell'URL dell'endpoint del connettore con qualsiasi nome DNS dell'endpoint VPC valido, ad esempio un nome DNS specifico per AZ.

Ad esempio, per utilizzare un nome DNS specifico per AZ, puoi sostituirlo 

https://vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID

con 

https://vpc-endpoint-id-availability-zone.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
Esempio: policy degli endpoint VPC per le operazioni di registrazione di Connector for SCEP

Puoi allegare una policy degli endpoint VPC per controllare l'accesso alle operazioni di registrazione. Se collegata a un endpoint, la seguente politica concede l'accesso a tutti i responsabili delle operazioni e. GetCACaps PKIOperation La risorsa nella stanza è un connettore.

I connettori per le operazioni di registrazione SCEP non sono autenticati con SigV4. Per questo motivo, non sono associati a un principale IAM e sono invece considerati anonimi dalle policy degli endpoint VPC. Pertanto, la policy degli endpoint VPC deve consentire a tutti i principali di eseguire queste azioni.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "pca-connector-scep:GetCACaps",
            "pca-connector-scep:GetCACert",
            "pca-connector-scep:PKIOperation"
         ],
         "Resource": [
            arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566
         ]
      }
   ]
}