Conector para endpoints SCEP VPC ()AWS PrivateLink - Autoridade de Certificação Privada da AWS
Considerações sobre o Connector for SCEP VPC endpointsCriação do VPC endpoint para o Connector for SCEPCrie uma política de VPC endpoint para o Connector for SCEPCriação de um VPC endpoint para operações de inscrição do Connector for SCEP

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conector para endpoints SCEP VPC ()AWS PrivateLink

Você pode criar uma conexão privada entre sua VPC e o Connector for SCEP configurando uma interface VPC endpoint. Os endpoints de interface são alimentados por AWS PrivateLink, uma tecnologia para acessar de forma privada as operações da API Connector for SCEP. AWS PrivateLink roteia todo o tráfego de rede entre sua VPC e o Connector for SCEP por meio da rede Amazon, evitando exposição na Internet aberta. Cada VPC endpoint é representado por uma ou mais interfaces de rede elástica com endereços IP privados em suas sub-redes da VPC.

A interface VPC endpoint conecta sua VPC diretamente ao Connector for SCEP sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect As instâncias na sua VPC não precisam de endereços IP públicos para se comunicarem com a API Connector for SCEP.

Para usar o Connector for SCEP por meio de sua VPC, você deve se conectar a partir de uma instância que esteja dentro da VPC. Como alternativa, você pode conectar sua rede privada à sua VPC usando um AWS Virtual Private Network (Site-to-Site VPN) ou. Direct Connect Para obter informações sobre isso Site-to-Site VPN, consulte Conexões VPN no Guia do usuário da Amazon VPC. Para obter informações sobre a Direct Connect, consulte Criar uma conexão no Manual do usuário da Direct Connect .

O conector para SCEP não requer o uso de AWS PrivateLink, mas nós o recomendamos como uma camada adicional de segurança. Para obter mais informações sobre endpoints AWS PrivateLink de VPC, consulte Acessando serviços por meio de. AWS PrivateLink

Considerações sobre o Connector for SCEP VPC endpoints

Antes de configurar os endpoints VPC de interface para o Connector for SCEP, esteja ciente das seguintes considerações:

  • O Connector for SCEP pode não oferecer suporte a VPC endpoints em algumas zonas de disponibilidade. Ao criar um endpoint de VPC, primeiro verifique o suporte no console de gerenciamento. Zonas de disponibilidade sem suporte são marcadas como “Serviço sem suporte nesta zona de disponibilidade”.

  • Os VPC endpoints não são compatíveis com solicitações entre regiões. Certifique-se de criar seu endpoint na mesma região em que criou seu conector.

  • Os endpoints da VPC oferecem suporte somente a DNS fornecidos pela Amazon por meio do Amazon Route 53. Se quiser usar seu próprio DNS, você pode usar o encaminhamento de DNS condicional. Para obter mais informações, consulte Conjuntos de Opções de DHCP no Manual do Usuário da Amazon VPC.

  • O grupo de segurança anexado ao endpoint da VPC deve permitir entrada conectada a porta 443 na sub-rede privada da VPC.

Criação do VPC endpoint para o Connector for SCEP

Você pode criar um VPC endpoint para o serviço Connector for SCEP usando o console VPC em ou o. https://console.aws.amazon.com/vpc/ AWS Command Line Interface Para obter mais informações, consulte o procedimento Criação de um endpoint de interface no Guia do usuário da Amazon VPC. O Connector for SCEP oferece suporte para fazer chamadas para todas as suas operações de API dentro da sua VPC.

Ao criar o endpoint, especifique com.amazonaws.region.pca-connector-scep como nome do serviço.

Se você ativou nomes de host DNS privados para o endpoint, o conector padrão para o endpoint SCEP agora é resolvido para seu endpoint VPC. Para obter uma lista abrangente de endpoints de serviço padrão, consulte Endpoints e cotas de serviço.

Se você não habilitar nomes de host DNS privados, a Amazon VPC fornecerá um nome de endpoint DNS que você poderá usar no seguinte formato:

vpc-endpoint-id.pca-connector-scep.region.vpce.amazonaws.com

Para obter mais informações, consulte VPC endpoints (AWS PrivateLink) no Guia do usuário do Amazon VPC.

Crie uma política de VPC endpoint para o Connector for SCEP

Você pode criar uma política para endpoints da Amazon VPC para o Connector for SCEP para especificar o seguinte:

  • A entidade principal que pode executar ações

  • As ações que podem ser executadas

  • Os recursos nos quais as ações podem ser executadas

Para obter mais informações, consulte Como controlar o acesso aos serviços com VPC Endpoints no Guia da Amazon VPC.

Exemplo — política de VPC endpoint para ações do Connector for SCEP

Quando anexada a um endpoint, a política a seguir concede acesso a todos os principais às ações listadas do Connector for SCEP no recurso de conector especificado.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "pca-connector-scep:GetConnector",
            "pca-connector-scep:ListConnectors"
         ],
         "Resource": "arn:aws:pca-connector-scep:region:account:connector/connector-id"
      }
   ]
}

Criação de um VPC endpoint para operações de inscrição do Connector for SCEP

O Connector for SCEP fornece um serviço de endpoint VPC separado para operações de inscrição, como e. GetCACaps PKIOperation

Ao criar o endpoint de inscrição, especifique com.amazonaws.region.pca-connector-scep.enroll como nome do serviço.

Ao criar um conector, você pode, opcionalmente, especificar a VpcEndpointId para restringir o conector a ser acessível somente por meio desse VPC endpoint específico.

Se você não habilitar nomes de host DNS privados, a Amazon VPC fornecerá um nome de endpoint DNS que você poderá usar no seguinte formato:

vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com
nota

Para acessar seu conector, você deve usar a URL do endpoint incluída nos detalhes do conector, não o nome DNS do endpoint VPC diretamente. No entanto, você pode substituir a parte do nome DNS da URL do endpoint do conector por qualquer nome DNS válido do VPC endpoint, como um nome DNS específico para AZ.

Por exemplo, para usar um nome DNS específico do AZ, você pode substituir 

https://vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID

por 

https://vpc-endpoint-id-availability-zone.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
Exemplo — política de VPC endpoint para operações de inscrição do Connector for SCEP

Você pode anexar uma política de VPC endpoint para controlar o acesso às operações de inscrição. Quando anexada a um endpoint, a política a seguir concede acesso a todos os diretores às operações GetCACaps e. PKIOperation O recurso na estrofe é um conector.

O conector para operações de inscrição do SCEP não é autenticado com SigV4. Por esse motivo, eles não estão associados a um diretor do IAM e, em vez disso, são considerados anônimos pelas políticas de endpoint da VPC. Dessa forma, sua política de VPC endpoint deve permitir que todos os diretores realizem essas ações.

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "pca-connector-scep:GetCACaps",
            "pca-connector-scep:GetCACert",
            "pca-connector-scep:PKIOperation"
         ],
         "Resource": [
            arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566
         ]
      }
   ]
}