SCEP VPC エンドポイント用コネクタ (AWS PrivateLink)

インターフェイス VPC エンドポイントを設定することで、VPC と Connector for SCEP の間にプライベート接続を作成できます。インターフェイスエンドポイントはAWS PrivateLink、Connector for SCEP API オペレーションにプライベートにアクセスするためのテクノロジーである を利用しています。 は、Amazon ネットワークを介して VPC と Connector for SCEP 間のすべてのネットワークトラフィックを AWS PrivateLink ルーティングし、オープンインターネットでの露出を回避します。各 VPC エンドポイントは、VPC サブネット内の 1 つ以上の Elastic Network Interface とプライベート IP アドレスで表されます。

インターフェイス VPC エンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続なしで、VPC を Connector for SCEP に直接接続します。VPC 内のインスタンスは、Connector for SCEP API と通信するためにパブリック IP アドレスを必要としません。

VPC 経由で Connector for SCEP を使用するには、VPC 内にあるインスタンスから接続する必要があります。または、 AWS Virtual Private Network (Site-to-Site VPN) または を使用してプライベートネットワークを VPC に接続することもできます Direct Connect。詳細については Site-to-Site VPN、「Amazon VPC ユーザーガイド」の「VPN 接続」を参照してください。 Direct Connectの詳細については、Direct Connect ユーザーガイドの「コネクションの作成」を参照してください。

Connector for SCEP は を使用する必要はありませんが AWS PrivateLink、追加のセキュリティレイヤーとしてお勧めします。 AWS PrivateLink および VPC エンドポイントの詳細については、「 を介したサービスへのアクセス AWS PrivateLink」を参照してください。

Connector for SCEP VPC エンドポイントに関する考慮事項

Connector for SCEP のインターフェイス VPC エンドポイントを設定する前に、次の考慮事項に注意してください。

Connector for SCEP の VPC エンドポイントの作成

Connector for SCEP サービスの VPC エンドポイントは、https://console.aws.amazon.com/vpc/ の VPC コンソールまたは を使用して作成できます AWS Command Line Interface。詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントの作成」の手順を参照してください。Connector for SCEP は、VPC 内のすべての API オペレーションへの呼び出しをサポートしています。

エンドポイントを作成するときは、サービス名com.amazonaws.region.pca-connector-scepとして を指定します。

エンドポイントのプライベート DNS ホスト名を有効にしている場合、デフォルトの Connector for SCEP エンドポイントが VPC エンドポイントに解決されるようになりました。デフォルトのサービスエンドポイントの詳しい一覧については、「サービスエンドポイントとクォータ」を参照してください。

プライベート DNS ホスト名を有効にしていない場合、Amazon VPC は次の形式で使用できる DNS エンドポイント名を提供します。

vpc-endpoint-id.pca-connector-scep.region.vpce.amazonaws.com

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイント (AWS PrivateLink)」を参照してください。

Connector for SCEP の VPC エンドポイントポリシーを作成する

Connector for SCEP の Amazon VPC エンドポイントのポリシーを作成して、以下を指定できます。

詳細については、「Amazon VPC ガイド」の「VPC エンドポイントを使用したサービスへのアクセスの制御」を参照してください。

例 – Connector for SCEP アクションの VPC エンドポイントポリシー

エンドポイントにアタッチすると、次のポリシーは、指定されたコネクタリソースで一覧表示されている Connector for SCEP アクションへのアクセス権をすべてのプリンシパルに付与します。

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "pca-connector-scep:GetConnector",
            "pca-connector-scep:ListConnectors"
         ],
         "Resource": "arn:aws:pca-connector-scep:region:account:connector/connector-id"
      }
   ]
}

Connector for SCEP 登録オペレーション用の VPC エンドポイントの作成

Connector for SCEP は、 GetCACapsや などの登録オペレーション用に個別の VPC エンドポイントサービスを提供しますPKIOperation。

登録エンドポイントを作成するときは、サービス名com.amazonaws.region.pca-connector-scep.enrollとして を指定します。

コネクタを作成するときは、オプションで を指定VpcEndpointIdして、その特定の VPC エンドポイントを介してのみコネクタにアクセスできるように制限できます。

プライベート DNS ホスト名を有効にしていない場合、Amazon VPC は次の形式で使用できる DNS エンドポイント名を提供します。

vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com

https://vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID

https://vpc-endpoint-id-availability-zone.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID

例 – Connector for SCEP 登録オペレーションの VPC エンドポイントポリシー

VPC エンドポイントポリシーをアタッチして、登録オペレーションへのアクセスを制御できます。エンドポイントにアタッチすると、次のポリシーはすべてのプリンシパルに GetCACapsおよび PKIOperationオペレーションへのアクセスを許可します。スタンザのリソースはコネクタです。

SCEP 登録オペレーション用のコネクタは SigV4 で認証されません。このため、これらは IAM プリンシパルに関連付けられず、代わりに VPC エンドポイントポリシーによって匿名と見なされます。そのため、VPC エンドポイントポリシーでは、これらのアクションのすべてのプリンシパルを許可する必要があります。

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "pca-connector-scep:GetCACaps",
            "pca-connector-scep:GetCACert",
            "pca-connector-scep:PKIOperation"
         ],
         "Resource": [
            arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566
         ]
      }
   ]
}