Amazon 私有 CA VPC 终端节点 (Amazon PrivateLink) - Amazon Private Certificate Authority
Amazon 私有 CA VPC 终端节点的注意事项为 Amazon 私有 CA创建 VPC 端点为 Amazon 私有 CA创建 VPC 终端节点策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 私有 CA VPC 终端节点 (Amazon PrivateLink)

您可以通过配置接口 VPC 终端节点在您 Amazon 私有 CA 的 VPC 和之间创建私有连接。接口端点由Amazon PrivateLink一种用于私密访问 Amazon 私有 CA API 操作的技术提供支持。 Amazon PrivateLink 在您的 VPC 之间以及 Amazon 私有 CA 通过 Amazon 网络路由所有网络流量,避免在开放的互联网上暴露。每个 VPC 终端节点都由您的 VPC 子网中一个或多个使用私有 IP 地址的弹性网络接口代表。

接口 VPC 终端节点直接连接您的 VPC, Amazon 私有 CA 无需互联网网关、NAT 设备、VPN Amazon Direct Connect 连接或连接。您的 VPC 中的实例不需要公有 IP 地址即可与 Amazon 私有 CA API 通信。

要 Amazon 私有 CA 通过您的 VPC 使用,您必须从 VPC 内部的实例进行连接。或者,您可以使用 Amazon Virtual Private Network (Amazon VPN) 或将您的私有网络连接到 VPC Amazon Direct Connect。有关信息 Amazon VPN,请参阅 Amazon VPC 用户指南中的 VPN 连接。有关信息 Amazon Direct Connect,请参阅《Amazon Direct Connect 用户指南》中的创建连接

Amazon 私有 CA 不需要使用 Amazon PrivateLink,但我们建议将其作为额外的安全层。有关 Amazon PrivateLink 和 VPC 终端节点的更多信息,请参阅通过访问服务 Amazon PrivateLink

Amazon 私有 CA VPC 终端节点的注意事项

在为设置接口 VPC 终端节点之前 Amazon 私有 CA,请注意以下注意事项:

  • Amazon 私有 CA 在某些可用区域中可能不支持 VPC 终端节点。创建 VPC 端点时,请先在管理控制台中查看是否支持。不支持的可用区标记为“此可用区不支持服务”。

  • VPC 终端节点不支持跨区域请求。确保在计划向 Amazon 私有 CA发出 API 调用的同一区域中创建端点。

  • VPC 端点仅通过 Amazon Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅 Amazon VPC 用户指南中的 DHCP 选项集

  • 附加到 VPC 端点的安全组必须允许端口 443 上来自 VPC 的私有子网的传入连接。

  • Amazon Certificate Manager 不支持 VPC 终端节点。

  • FIPS 终端节点(及其区域)不支持 VPC 终端节点。

Amazon 私有 CA API 目前支持以下方面的 VPC 终端节点 Amazon Web Services 区域:

  • 美国东部(俄亥俄)

  • 美国东部(弗吉尼亚州北部)

  • 美国西部(北加利福尼亚)

  • 美国西部(俄勒冈州)

  • 非洲(开普敦)

  • 亚太地区(香港)

  • Asia Pacific (Mumbai)

  • 亚太地区(大阪)

  • 亚太地区(首尔)

  • 亚太地区(新加坡)

  • 亚太地区(悉尼)

  • 亚太地区(东京)

  • 加拿大(中部)

  • 欧洲地区(法兰克福)

  • 欧洲地区(爱尔兰)

  • 欧洲地区(伦敦)

  • 欧洲地区(巴黎)

  • Europe (Stockholm)

  • 欧洲地区(米兰)

  • 以色列(特拉维夫)

  • 中东(巴林)

  • South America(São Paulo)

为 Amazon 私有 CA创建 VPC 端点

您可以使用 VPC 控制台为 Amazon 私有 CA 服务创建 VPC 终端节点,网址为 https://console.aws.amazon.com/vpc/ 或 Amazon Command Line Interface。有关更多信息,请参阅 Amazon VPC 用户指南中的创建接口终端节点程序。 Amazon 私有 CA 支持在您的 VPC 内调用其所有 API 操作。

如果您已为端点启用私有 DNS 主机名,则默认的 Amazon 私有 CA 端点现在解析为您的 VPC 端点。有关默认服务终端节点的完整列表,请参阅服务终端节点和配额

如果您尚未启用私有 DNS 主机名,则 Amazon VPC 将提供一个您可以使用的 DNS 端点名称,格式如下:

vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
注意

值 re g ion 表示所 Amazon 私有 CA支持的 Amazon 区域(例如us-east-2美国东部(俄亥俄州)地区的区域标识符。有关列表 Amazon 私有 CA,请参阅Amazon Certificate Manager 私有证书颁发机构端点和配额

有关更多信息,请参阅 Amazon Amazon 私有 CA VPC 用户指南中的 VPC 终端节点 (Amazon PrivateLink)

您可以为的 Amazon VPC 终端节点创建策略 Amazon 私有 CA 以指定以下内容:

  • 可执行操作的主体

  • 可执行的操作

  • 可对其执行操作的资源

有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问权限

示例-用于 Amazon 私有 CA 操作的 VPC 终端节点策略

当连接到终端节点时,以下策略向所有委托人授予对 Amazon 私有 CA 操作IssueCertificate、、DescribeCertificateAuthorityGetCertificateGetCertificateAuthorityCertificateListPermissions、和ListTags的访问权限。每个 Stanza 中的资源都是一个私有 CA。第一个 Stanza 授权使用指定的私有 CA 和证书模板创建终端实体证书。如果您不想控制要使用的模板,则不需要 Condition 部分。但是,删除此部分后将允许所有委托人创建 CA 证书以及终端实体证书。

{
      "Statement":[
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:IssueCertificate"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ],
            "Condition":{
               "StringEquals":{
                  "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
               }
            }
         },
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:DescribeCertificateAuthority",
               "acm-pca:GetCertificate",
               "acm-pca:GetCertificateAuthorityCertificate",
               "acm-pca:ListPermissions",
               "acm-pca:ListTags"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ]
         }
      ]
   }