

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Conector para puntos finales de VPC SCEP ()AWS PrivateLink
<a name="c4scep-vpc-endpoints"></a>

Puede crear una conexión privada entre la VPC y Connector for SCEP configurando un punto final de la interfaz de la VPC. Los puntos finales de la interfaz funcionan con una tecnología que permite acceder de [AWS PrivateLink](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-privatelink.html)forma privada a las operaciones de la API de Connector for SCEP. AWS PrivateLink enruta todo el tráfico de red entre su VPC y Connector for SCEP a través de la red Amazon, lo que evita la exposición en Internet abierta. Cada punto de enlace de la VPC está representado por una o varias [interfaces de red elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) con direcciones IP privadas en las subredes de la VPC.

El punto final de la interfaz de la VPC conecta la VPC directamente a Connector for SCEP sin necesidad de una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. Direct Connect Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con la API de Connector for SCEP.

Para usar Connector for SCEP a través de la VPC, debe conectarse desde una instancia que esté dentro de la VPC. Como alternativa, puede conectar la red privada a la VPC mediante un AWS Virtual Private Network (Site-to-Site VPN) o. Direct Connect Para obtener más información Site-to-Site VPN, consulte [Conexiones VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) en la Guía del *usuario de Amazon VPC*. Para obtener información acerca de Direct Connect, consulte [Creación de una conexión](https://docs.aws.amazon.com/directconnect/latest/UserGuide/dedicated_connection.html#create-connection) en la *Guía del usuario de Direct Connect *.

El conector para SCEP no requiere el uso de AWS PrivateLink, pero lo recomendamos como capa de seguridad adicional. Para obtener más información sobre AWS PrivateLink los puntos de enlace de la VPC, consulte [Acceder a](https://docs.aws.amazon.com/vpc/latest/userguide/privatelink-access-aws-services.html) los servicios mediante. AWS PrivateLink

## Consideraciones sobre el conector para puntos finales de VPC SCEP
<a name="c4scep-vpc-endpoint-considerations"></a>

Antes de configurar los puntos finales de la interfaz de VPC para Connector for SCEP, tenga en cuenta las siguientes consideraciones:
+ Es posible que Connector for SCEP no admita puntos de enlace de VPC en algunas zonas de disponibilidad. Cuando cree un punto de conexión de VPC, compruebe primero el soporte en la consola de administración. Las zonas de disponibilidad no compatibles aparecen marcadas como “Service not supported in this Availability Zone” (El servicio no es compatible en esta zona de disponibilidad).
+ Los puntos de conexión de VPC no admiten las solicitudes entre regiones. Asegúrese de crear el punto final en la misma región en la que creó el conector.
+ Los puntos de conexión de VPC solo admiten DNS proporcionadas por Amazon a través de Amazon Route 53. Si desea utilizar su propio DNS, puede utilizar el enrutamiento de DNS condicional. Para obtener más información, consulte [Conjuntos de opciones de DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) en la *Guía del usuario de Amazon VPC*.
+ El grupo de seguridad asociado al punto de conexión de la VPC debe permitir las conexiones entrantes en el puerto 443 desde la subred privada de la VPC.

## Creación del punto final de VPC para Connector for SCEP
<a name="c4scep-vpc-endpoint-create"></a>

Puede crear un punto final de VPC para el servicio Connector for SCEP mediante la consola de VPC en o la. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) AWS Command Line Interface Para obtener más información, consulte el procedimiento de [creación de un punto final de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) en la Guía del *usuario de Amazon VPC*. Connector for SCEP permite realizar llamadas a todas sus operaciones de API dentro de su VPC.

Al crear el punto final, especifíquelo `com.amazonaws.{{region}}.pca-connector-scep` como nombre del servicio.

Si ha habilitado los nombres de host DNS privados para el punto final, el punto final predeterminado de Connector for SCEP pasa ahora a ser su punto final de VPC. Para obtener una lista completa de los puntos de conexión de servicio predeterminados, consulte [Puntos de enlace de servicio y cuotas](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html).

Si no ha habilitado nombres de host de DNS privados, Amazon VPC proporciona un nombre de punto de conexión de DNS que puede utilizar en el siguiente formato:

```
{{vpc-endpoint-id}}.pca-connector-scep.{{region}}.vpce.amazonaws.com
```

Para obtener más información, consulte los [puntos de enlace de la VPC (AWS PrivateLink) en la Guía](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) del usuario de Amazon *VPC*.

## Cree una política de puntos finales de VPC para Connector for SCEP
<a name="c4scep-vpc-endpoint-policy"></a>

Puede crear una política para los puntos de enlace de Amazon VPC para Connector for SCEP para especificar lo siguiente:
+ La entidad principal que puede realizar acciones
+ Las acciones que se pueden realizar
+ Los recursos en los que se pueden llevar a cabo las acciones

Para obtener más información, consulte [Control del acceso a los servicios con puntos de enlace de VPC en la Guía](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) de Amazon *VPC*.

**Ejemplo: política de puntos finales de VPC para acciones de Connector for SCEP**  
Cuando se conecta a un punto final, la siguiente política otorga acceso a todos los principales al conector de la lista para las acciones del SCEP en el recurso de conector especificado.

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "pca-connector-scep:GetConnector",
            "pca-connector-scep:ListConnectors"
         ],
         "Resource": "arn:aws:pca-connector-scep:{{region}}:{{account}}:connector/{{connector-id}}"
      }
   ]
}
```

## Creación de un punto final de VPC para las operaciones de inscripción de Connector para SCEP
<a name="c4scep-vpc-endpoint-enrollment"></a>

Connector for SCEP proporciona un servicio de punto final de VPC independiente para operaciones de inscripción como `GetCACaps` y. `PKIOperation`

Al crear el punto final de inscripción, especifíquelo `com.amazonaws.{{region}}.pca-connector-scep.enroll` como nombre del servicio.

Al crear un conector, si lo desea, puede especificar un `VpcEndpointId` para restringir el conector para que solo sea accesible a través de ese punto final de VPC específico.

Si no ha habilitado nombres de host de DNS privados, Amazon VPC proporciona un nombre de punto de conexión de DNS que puede utilizar en el siguiente formato:

```
{{vpc-endpoint-id}}.enroll.pca-connector-scep.{{region}}.vpce.amazonaws.com
```

**nota**  
Para acceder al conector, debes usar la URL del punto de conexión incluida en los detalles del conector, no el nombre DNS del punto de conexión de la VPC directamente. Sin embargo, puede reemplazar la parte del nombre DNS de la URL del punto de conexión por cualquier nombre de DNS del punto de conexión de la VPC válido, como un nombre de AZ-specific DNS.  
 Por ejemplo, para usar un nombre DNS específico para la zona de disponibilidad, puedes sustituirlo   

```
https://{{vpc-endpoint-id}}.enroll.pca-connector-scep.{{region}}.vpce.amazonaws.com/{{account-id}}-{{connector-id}}/{{UUID}}
```
 por   

```
https://{{vpc-endpoint-id}}-{{availability-zone}}.enroll.pca-connector-scep.{{region}}.vpce.amazonaws.com/{{account-id}}-{{connector-id}}/{{UUID}}
```

**Ejemplo: política de puntos finales de VPC para operaciones de inscripción de Connector para SCEP**  
Puede adjuntar una política de puntos finales de VPC para controlar el acceso a las operaciones de inscripción. Cuando se conecta a un punto final, la siguiente política otorga acceso a todos los directores a las operaciones `GetCACaps` y`PKIOperation`. El recurso de la estrofa es un conector.

Las operaciones de inscripción de Connector for SCEP no se autentican con SiGv4. Debido a esto, no están asociados a un principal de IAM y, en cambio, las políticas de puntos finales de la VPC los consideran anónimos. Por lo tanto, su política de puntos finales de VPC debe permitir que todos los principales realicen estas acciones.

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "pca-connector-scep:GetCACaps",
            "pca-connector-scep:GetCACert",
            "pca-connector-scep:PKIOperation"
         ],
         "Resource": [
            arn:{{aws}}:pca-connector-scep:{{us-east-1}}:{{111122223333}}:connector/{{11223344-1234-1122-2233-112233445566}}
         ]
      }
   ]
}
```