用于 SCEP VPC 终端节点的连接器 ()Amazon PrivateLink - Amazon 私有证书颁发机构
SCEP VPC 终端节点连接器的注意事项为 SCEP 连接器创建 VPC 终端节点为 SCEP 连接器创建 VPC 终端节点策略为 Connector 创建 VPC 终端节点以进行 SCEP 注册操作
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用于 SCEP VPC 终端节点的连接器 ()Amazon PrivateLink

您可以通过配置接口 VPC 终端节点在您的 VPC 和适用于 SCEP 的连接器之间创建私有连接。接口端点由Amazon PrivateLink一种用于私密访问连接器以进行 SCEP API 操作的技术提供支持。 Amazon PrivateLink 通过亚马逊网络路由您的 VPC 和 Connector for SCEP 之间的所有网络流量,避免暴露在开放的互联网上。每个 VPC 终端节点都由您的 VPC 子网中一个或多个使用私有 IP 地址的弹性网络接口代表。

接口 VPC 终端节点将您的 VPC 直接连接到 SCEP 连接器,无需互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。您的 VPC 中的实例不需要公有 IP 地址即可与 SCEP API 的连接器通信。

要通过您的 VPC 使用 Connector for SCEP,您必须从 VPC 内部的实例进行连接。或者,您可以使用 Amazon Virtual Private Network (Amazon VPN) 或将您的私有网络连接到 VPC Amazon Direct Connect。有关信息 Amazon VPN,请参阅 Amazon VPC 用户指南中的 VPN 连接。有关 Amazon Direct Connect的信息,请参阅《Amazon Direct Connect 用户指南》中的创建连接

SCEP 连接器不需要使用 Amazon PrivateLink,但我们建议将其作为额外的安全层。有关 Amazon PrivateLink 和 VPC 终端节点的更多信息,请参阅通过访问服务 Amazon PrivateLink

SCEP VPC 终端节点连接器的注意事项

在为 SCEP 连接器设置接口 VPC 终端节点之前,请注意以下注意事项:

  • SCEP 连接器可能不支持某些可用区中的 VPC 终端节点。创建 VPC 端点时,请先在管理控制台中查看是否支持。不支持的可用区标记为“此可用区不支持服务”。

  • VPC 终端节点不支持跨区域请求。确保在创建连接器的同一区域创建终端节点。

  • VPC 端点仅通过 Amazon Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅 Amazon VPC 用户指南中的 DHCP 选项集

  • 附加到 VPC 端点的安全组必须允许端口 443 上来自 VPC 的私有子网的传入连接。

为 SCEP 连接器创建 VPC 终端节点

您可以使用 VPC 控制台为适用于 SCEP 的连接器服务创建 VPC 终端节点。https://console.aws.amazon.com/vpc/ Amazon Command Line Interface有关更多信息,请参阅 Amazon VPC 用户指南中的创建接口终端节点程序。SCEP 连接器支持在您的 VPC 内调用其所有 API 操作。

创建终端节点时,请指定com.amazonaws.region.pca-connector-scep为服务名称。

如果您为终端节点启用了私有 DNS 主机名,那么 SCEP 终端节点的默认连接器现在会解析到您的 VPC 终端节点。有关默认服务终端节点的完整列表,请参阅服务终端节点和配额

如果您尚未启用私有 DNS 主机名,则 Amazon VPC 将提供一个您可以使用的 DNS 端点名称,格式如下:

vpc-endpoint-id.pca-connector-scep.region.vpce.amazonaws.com

有关更多信息,请参阅 Amazon VPC 用户指南中的 VPC 终端节点 (Amazon PrivateLink)

为 SCEP 连接器创建 VPC 终端节点策略

您可以为 Connector for SCEP 的 Amazon VPC 终端节点创建策略,以指定以下内容:

  • 可执行操作的主体

  • 可执行的操作

  • 可对其执行操作的资源

有关更多信息,请参阅 Amazon VPC 指南中的使用 VPC 终端节点控制对服务的访问

示例 — 用于 SCEP 操作的连接器的 VPC 终端节点策略

连接到端点后,以下策略授予所有委托人访问列出的连接器的权限,以便对指定连接器资源进行 SCEP 操作。

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "pca-connector-scep:GetConnector",
            "pca-connector-scep:ListConnectors"
         ],
         "Resource": "arn:aws:pca-connector-scep:region:account:connector/connector-id"
      }
   ]
}

为 Connector 创建 VPC 终端节点以进行 SCEP 注册操作

SCEP 连接器为注册操作(例如GetCACapsPKIOperation)提供单独的 VPC 终端节点服务。

创建注册端点时,请指定com.amazonaws.region.pca-connector-scep.enroll为服务名称。

创建连接器时,您可以选择指定,将连接器限制VpcEndpointId为只能通过该特定 VPC 终端节点进行访问。

如果您尚未启用私有 DNS 主机名,则 Amazon VPC 将提供一个您可以使用的 DNS 端点名称,格式如下:

vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com
注意

要访问您的连接器,您必须使用连接器详细信息中包含的终端节点 URL,而不是直接使用 VPC 终端节点 DNS 名称。但是,您可以将连接器终端节点 URL 的 DNS 名称部分替换为任何有效的 VPC 终端节点 DNS 名称,例如特定于 AZ 的 DNS 名称。

例如,要使用特定于可用区的 DNS 名称,您可以替换 

https://vpc-endpoint-id.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID

https://vpc-endpoint-id-availability-zone.enroll.pca-connector-scep.region.vpce.amazonaws.com/account-id-connector-id/UUID
示例-用于 SCEP 注册操作的连接器的 VPC 终端节点策略

您可以附加 VPC 终端节点策略来控制对注册操作的访问权限。连接到终端节点时,以下策略授予所有委托人访问GetCACapsPKIOperation操作的权限。节中的资源是一个连接器。

SCEP 注册操作的连接器未使用 Sigv4 进行身份验证。因此,它们不与 IAM 委托人关联,而是被 VPC 终端节点策略视为匿名的。因此,您的 VPC 终端节点策略必须允许所有委托人执行这些操作。

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "pca-connector-scep:GetCACaps",
            "pca-connector-scep:GetCACert",
            "pca-connector-scep:PKIOperation"
         ],
         "Resource": [
            arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566
         ]
      }
   ]
}