기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
SCEP VPC 엔드포인트용 커넥터(AWS PrivateLink)
인터페이스 VPC 엔드포인트를 구성하여 VPC와 SCEP용 커넥터 간에 프라이빗 연결을 생성할 수 있습니다. 인터페이스 엔드포인트는 SCEP API 작업용 커넥터에 비공개AWS PrivateLink로 액세스하는 기술로 구동됩니다.는 Amazon 네트워크를 통해 VPC와 SCEP용 커넥터 간의 모든 네트워크 트래픽을 AWS PrivateLink 라우팅하여 개방형 인터넷에 노출되지 않도록 합니다. 각 VPC 엔드포인트는 하나 이상의 탄력적 네트워크 인터페이스 및 VPC 서브넷의 프라이빗 IP 주소로 표현됩니다.
인터페이스 VPC 엔드포인트는 인터넷 게이트웨이, NAT 디바이스, VPN Direct Connect 연결 또는 연결 없이 VPC를 SCEP용 커넥터에 직접 연결합니다. VPC의 인스턴스는 SCEP용 커넥터 API와 통신하는 데 퍼블릭 IP 주소가 필요하지 않습니다.
VPC를 통해 SCEP용 커넥터를 사용하려면 VPC 내에 있는 인스턴스에서 연결해야 합니다. 또는 AWS Virtual Private Network (Site-to-Site VPN) 또는를 사용하여 프라이빗 네트워크를 VPC에 연결할 수 있습니다 Direct Connect. 에 대한 자세한 내용은 Amazon VPC 사용 설명서의 VPN 연결을 Site-to-Site VPN참조하세요. https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html Direct Connect에 대한 자세한 내용은 Direct Connect 사용 설명서의 연결 생성을 참조하세요.
SCEP용 커넥터는를 사용할 필요가 AWS PrivateLink없지만 추가 보안 계층으로 사용하는 것이 좋습니다. AWS PrivateLink 및 VPC 엔드포인트에 대한 자세한 내용은를 통한 서비스 액세스를 참조하세요 AWS PrivateLink.
SCEP VPC 엔드포인트용 커넥터에 대한 고려 사항
SCEP용 커넥터에 대한 인터페이스 VPC 엔드포인트를 설정하기 전에 다음 고려 사항에 유의하세요.
-
SCEP용 커넥터는 일부 가용 영역에서 VPC 엔드포인트를 지원하지 않을 수 있습니다. VPC 엔드포인트를 생성할 때는 먼저 관리 콘솔에서 지원을 확인하세요. 지원되지 않는 가용 영역은 “이 가용 영역에서 서비스가 지원되지 않음”으로 표시됩니다.
-
VPC 엔드포인트는 교차 리전 요청을 지원하지 않습니다. 커넥터를 생성하는 리전과 동일한 리전에서 엔드포인트를 생성해야 합니다.
-
VPC 엔드포인트는 Amazon Route 53을 통해 Amazon이 제공하는 DNS만 지원합니다. 자신의 DNS를 사용하는 경우에는 조건적인 DNS 전송을 사용할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서의 DHCP 옵션 세트를 참조하세요.
-
VPC 엔드포인트에 연결된 보안 그룹은 VPC의 프라이빗 서브넷에서 443 포트로 들어오는 연결을 허용해야 합니다.
SCEP용 커넥터에 대한 VPC 엔드포인트 생성
https://console.aws.amazon.com/vpc/
엔드포인트를 생성할 때 com.amazonaws.를 서비스 이름으로 지정합니다.region.pca-connector-scep
엔드포인트에 대해 프라이빗 DNS 호스트 이름을 활성화한 경우 이제 SCEP 엔드포인트용 기본 커넥터가 VPC 엔드포인트로 확인됩니다. 기본 서비스 엔드포인트의 전체 목록은 서비스 엔드포인트 및 할당량을 참조하십시오.
프라이빗 DNS 호스트 이름을 활성화하지 않은 경우, Amazon VPC는 다음 형식으로 사용할 수 있는 DNS 엔드포인트를 제공합니다.
vpc-endpoint-id.pca-connector-scep.region.vpce.amazonaws.com
자세한 내용은 Amazon VPC 사용 설명서의 VPC 엔드포인트(AWS PrivateLink)를 참조하세요.
SCEP용 커넥터에 대한 VPC 엔드포인트 정책 생성
SCEP용 커넥터에 대한 Amazon VPC 엔드포인트 정책을 생성하여 다음을 지정할 수 있습니다.
-
작업을 수행할 수 있는 보안 주체.
-
수행할 수 있는 작업
-
작업을 수행할 수 있는 리소스
자세한 내용은 Amazon VPC 가이드의 VPC 엔드포인트를 사용하여 서비스에 대한 액세스 제어를 참조하세요.
예 - SCEP 작업용 커넥터에 대한 VPC 엔드포인트 정책
엔드포인트에 연결되면 다음 정책은 모든 보안 주체에 대해 지정된 커넥터 리소스의 나열된 SCEP 작업용 커넥터에 대한 액세스 권한을 부여합니다.
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "pca-connector-scep:GetConnector", "pca-connector-scep:ListConnectors" ], "Resource": "arn:aws:pca-connector-scep:region:account:connector/connector-id" } ] }
SCEP 등록 작업용 커넥터에 대한 VPC 엔드포인트 생성
SCEP용 커넥터는 GetCACaps 및와 같은 등록 작업을 위한 별도의 VPC 엔드포인트 서비스를 제공합니다PKIOperation.
등록 엔드포인트를 생성할 때 com.amazonaws.를 서비스 이름으로 지정합니다.region.pca-connector-scep.enroll
커넥터를 생성할 때 선택적으로를 지정VpcEndpointId하여 특정 VPC 엔드포인트를 통해서만 커넥터에 액세스할 수 있도록 제한할 수 있습니다.
프라이빗 DNS 호스트 이름을 활성화하지 않은 경우, Amazon VPC는 다음 형식으로 사용할 수 있는 DNS 엔드포인트를 제공합니다.
vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com
참고
커넥터에 연결하려면 VPC 엔드포인트 DNS 이름이 아닌 커넥터 세부 정보에 포함된 엔드포인트 URL을 사용해야 합니다. 그러나 커넥터 엔드포인트 URL의 DNS 이름 부분을 AZ별 DNS 이름과 같은 유효한 VPC 엔드포인트 DNS 이름으로 바꿀 수 있습니다.
예를 들어 AZ 특정 DNS 이름을 사용하려면
https://vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
with
https://vpc-endpoint-id-availability-zone.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
예 - SCEP 등록 작업용 커넥터에 대한 VPC 엔드포인트 정책
VPC 엔드포인트 정책을 연결하여 등록 작업에 대한 액세스를 제어할 수 있습니다. 엔드포인트에 연결되면 다음 정책은 모든 보안 주체에게 GetCACaps 및 PKIOperation 작업에 대한 액세스 권한을 부여합니다. 스탠자의 리소스는 커넥터입니다.
SCEP 등록 작업용 커넥터는 SigV4로 인증되지 않습니다. 따라서 IAM 보안 주체와 연결되지 않고 VPC 엔드포인트 정책에서 익명으로 간주됩니다. 따라서 VPC 엔드포인트 정책은 이러한 작업에 대한 모든 보안 주체를 허용해야 합니다.
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "pca-connector-scep:GetCACaps", "pca-connector-scep:GetCACert", "pca-connector-scep:PKIOperation" ], "Resource": [ arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566] } ] }
