適用於 SCEP VPC 端點的連接器 (AWS PrivateLink) - AWS 私有憑證授權單位
Connector for SCEP VPC 端點的考量建立 Connector for SCEP 的 VPC 端點為 Connector for SCEP 建立 VPC 端點政策為 Connector for SCEP 註冊操作建立 VPC 端點

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

適用於 SCEP VPC 端點的連接器 (AWS PrivateLink)

您可以設定介面 VPC 端點,在 VPC 和 Connector for SCEP 之間建立私有連線。介面端點採用 AWS PrivateLink技術,可私下存取 Connector for SCEP API 操作。 會透過 Amazon 網路 AWS PrivateLink 路由 VPC 與 Connector for SCEP 之間的所有網路流量,避免公開網際網路。每個 VPC 端點皆會由一個或多個具私有 IP 地址彈性網路界面來表示,而該界面位於 VPC 子網路中。

介面 VPC 端點會將您的 VPC 直接連線至 Connector for SCEP,無需網際網路閘道、NAT 裝置、VPN 連線或 Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址,即可與 Connector for SCEP API 通訊。

若要透過 VPC 使用 Connector for SCEP,您必須從 VPC 內的執行個體連線。或者,您可以使用 AWS Virtual Private Network (Site-to-Site VPN) 或 將私有網路連接到 VPC Direct Connect。如需 的詳細資訊 Site-to-Site VPN,請參閱《Amazon VPC 使用者指南》中的 VPN 連線。如需有關 Direct Connect的資訊,請參閱《Direct Connect 使用者指南》中的建立連線

Connector for SCEP 不需要使用 AWS PrivateLink,但我們建議將其作為額外的安全層。如需 AWS PrivateLink 和 VPC 端點的詳細資訊,請參閱透過 存取服務 AWS PrivateLink

Connector for SCEP VPC 端點的考量

設定 Connector for SCEP 的介面 VPC 端點之前,請注意下列考量:

  • Connector for SCEP 在某些可用區域中可能不支援 VPC 端點。當您建立 VPC 端點時,請先檢查 管理主控台中的支援。不支援的可用區域會標示為「此可用區域不支援 服務」。

  • VPC 端點不支援跨區域請求。請確定您在建立連接器的相同區域中建立端點。

  • VPC 端點僅支援 Amazon 透過 Amazon Route 53 提供的 DNS。如果您想要使用自己的 DNS,您可以使用條件式 DNS 轉送。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的 DHCP 選項集

  • 連接到 VPC 端點的安全群組,必須允許從 VPC 的私有子網路,透過 443 埠傳入的連線。

建立 Connector for SCEP 的 VPC 端點

您可以使用位於 https://console.aws.amazon.com/vpc/:// 的 VPC 主控台或 ,為 Connector for SCEP 服務建立 VPC 端點 AWS Command Line Interface。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立介面端點程序。Connector for SCEP 支援呼叫 VPC 內的所有 API 操作。

建立端點時,請指定 com.amazonaws.region.pca-connector-scep做為服務名稱。

如果您已啟用端點的私有 DNS 主機名稱,則預設的 Connector for SCEP 端點現在會解析為您的 VPC 端點。如需預設服務端點的完整清單,請參閱服務端點和配額

如果您尚未啟用私有 DNS 主機名稱,Amazon VPC 會提供 DNS 端點名稱,您可以使用下列格式:

vpc-endpoint-id.pca-connector-scep.region.vpce.amazonaws.com

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的 VPC 端點 (AWS PrivateLink)

為 Connector for SCEP 建立 VPC 端點政策

您可以為 Connector for SCEP 的 Amazon VPC 端點建立政策,以指定下列項目:

  • 可執行動作的委託人

  • 可執行的動作

  • 可在其中執行動作的資源

如需詳細資訊,請參閱《Amazon VPC 指南》中的使用 VPC 端點控制對 服務的存取

範例 – Connector for SCEP 動作的 VPC 端點政策

連接至端點時,下列政策會授予所有主體對指定連接器資源上所列 Connector for SCEP 動作的存取權。

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "pca-connector-scep:GetConnector",
            "pca-connector-scep:ListConnectors"
         ],
         "Resource": "arn:aws:pca-connector-scep:region:account:connector/connector-id"
      }
   ]
}

為 Connector for SCEP 註冊操作建立 VPC 端點

Connector for SCEP 為註冊操作提供單獨的 VPC 端點服務,例如 GetCACapsPKIOperation

建立註冊端點時,請指定 com.amazonaws.region.pca-connector-scep.enroll做為服務名稱。

建立連接器時,您可以選擇性地指定 VpcEndpointId,將連接器限制為只能透過該特定 VPC 端點存取。

如果您尚未啟用私有 DNS 主機名稱,Amazon VPC 會提供 DNS 端點名稱,您可以使用下列格式:

vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com
注意

若要連接連接器,您必須使用連接器詳細資訊中包含的端點 URL,而不是直接使用 VPC 端點 DNS 名稱。不過,您可以將連接器端點 URL 的 DNS 名稱部分取代為任何有效的 VPC 端點 DNS 名稱,例如 AZ 特定的 DNS 名稱。

例如,若要使用 AZ 特定的 DNS 名稱,您可以取代 

https://vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID

取代為 

https://vpc-endpoint-id-availability-zone.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
範例 – Connector for SCEP 註冊操作的 VPC 端點政策

您可以連接 VPC 端點政策,以控制對註冊操作的存取。連接至 端點時,下列政策會授予所有主體對 GetCACapsPKIOperation操作的存取權。Stanza 中的資源是連接器。

連接器的 SCEP 註冊操作不會使用 SigV4 驗證。因此,它們不會與 IAM 主體相關聯,而是被 VPC 端點政策視為匿名。因此,您的 VPC 端點政策必須允許這些動作的所有主體。

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "pca-connector-scep:GetCACaps",
            "pca-connector-scep:GetCACert",
            "pca-connector-scep:PKIOperation"
         ],
         "Resource": [
            arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566
         ]
      }
   ]
}