AWS Private CA VPC エンドポイント (AWS PrivateLink) - AWS Private Certificate Authority
AWS Private CA VPC エンドポイントに関する考慮事項AWS Private CA用の VPC エンドポイントの作成AWS Private CA用の VPC エンドポイントポリシーを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Private CA VPC エンドポイント (AWS PrivateLink)

VPC と の間にプライベート接続を作成するには、インターフェイス VPC エンドポイント AWS Private CA を設定します。インターフェイスエンドポイントはAWS PrivateLink、 AWS Private CA API オペレーションにプライベートにアクセスするためのテクノロジーである を利用しています。 は、VPC と Amazon ネットワーク間のすべてのネットワークトラフィックを AWS PrivateLink ルーティングし AWS Private CA 、オープンインターネットでの露出を回避します。各 VPC エンドポイントは、VPC サブネット内の 1 つ以上の Elastic Network Interface とプライベート IP アドレスで表されます。

インターフェイス VPC エンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続 AWS Private CA なしで VPC を直接 に接続します。VPC 内のインスタンスは、 AWS Private CA API と通信するためにパブリック IP アドレスを必要としません。

VPC AWS Private CA 経由で を使用するには、VPC 内にあるインスタンスから接続する必要があります。または、 AWS Virtual Private Network (AWS VPN) または を使用してプライベートネットワークを VPC に接続することもできます AWS Direct Connect。詳細については AWS VPN、「Amazon VPC ユーザーガイド」の「VPN 接続」を参照してください。詳細については AWS Direct Connect、 AWS Direct Connect ユーザーガイドの「接続の作成」を参照してください。

AWS Private CA は を使用する必要はありませんが AWS PrivateLink、追加のセキュリティレイヤーとしてお勧めします。 AWS PrivateLink および VPC エンドポイントの詳細については、「 を介したサービスへのアクセス AWS PrivateLink」を参照してください。

AWS Private CA VPC エンドポイントに関する考慮事項

のインターフェイス VPC エンドポイントを設定する前に AWS Private CA、次の考慮事項に注意してください。

  • AWS Private CA 一部のアベイラビリティーゾーンでは、 が VPC エンドポイントをサポートしていない場合があります。VPC エンドポイントを作成するときは、まず管理コンソールでサポートを確認してください。サポートされていないアベイラビリティーゾーンには「このアベイラビリティーゾーンではサポートされていないサービス」とマークされます。

  • VPC エンドポイントはクロスリージョンリクエストをサポートしていません。 AWS Private CAに対して API コールを発行するリージョンと同じリージョンにエンドポイントを作成してください。​

  • VPC エンドポイントでは、Amazon Route 53 を介して Amazon 提供の DNS のみがサポートされています。独自の DNS を使用したい場合は、条件付き DNS 転送を使用できます。詳細については、Amazon VPC ユーザーガイドDHCP Options Setsを参照してください。

  • VPCエンドポイントにアタッチされたセキュリティグループでは、VPCのプライベートサブネットから、ポート 443 で着信接続を許可する必要があります。

  • AWS Certificate Manager は VPC エンドポイントをサポートしていません。

  • FIPS エンドポイント (およびそのリージョン) は VPC エンドポイントをサポートしていません。

AWS Private CA API は現在、次の で VPC エンドポイントをサポートしています AWS リージョン。

  • 米国東部(オハイオ)

  • 米国東部 (バージニア北部)

  • 米国西部 (北カリフォルニア)

  • 米国西部 (オレゴン)

  • アフリカ (ケープタウン)

  • アジアパシフィック (香港)

  • アジアパシフィック (ハイデラバード)

  • アジアパシフィック (ジャカルタ)

  • アジアパシフィック (メルボルン)

  • アジアパシフィック (ムンバイ)

  • アジアパシフィック (大阪)

  • アジアパシフィック (ソウル)

  • アジアパシフィック (シンガポール)

  • アジアパシフィック (シドニー)

  • アジアパシフィック (東京)

  • カナダ (中部)

  • カナダ西部 (カルガリー)

  • 欧州 (フランクフルト)

  • 欧州 (アイルランド)

  • 欧州 (ロンドン)

  • 欧州 (ミラノ)

  • 欧州 (パリ)

  • 欧州 (スペイン)

  • 欧州 (ストックホルム)

  • 欧州 (チューリッヒ)

  • イスラエル (テルアビブ)

  • 中東 (バーレーン)

  • 中東 (アラブ首長国連邦)

  • 南米 (サンパウロ)

AWS Private CA用の VPC エンドポイントの作成

AWS Private CA サービスの VPC エンドポイントは、https://console.aws.amazon.com/vpc/ の VPC コンソールまたは を使用して作成できます AWS Command Line Interface。詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントの作成」の手順を参照してください。 は、VPC 内のすべての API オペレーションへの呼び出し AWS Private CA をサポートしています。

エンドポイントのプライベート DNS ホスト名を有効にすると、デフォルトの AWS Private CA エンドポイントはお客様の VPC エンドポイントに解決されます。デフォルトのサービスエンドポイントの詳しい一覧については、「サービスエンドポイントとクォータ」を参照してください。

プライベート DNS ホスト名を有効にしていない場合、Amazon VPC は次の形式で使用できる DNS エンドポイント名を提供します。

vpc-endpoint-id.acm-pca.region.vpce.amazonaws.com
注記

リージョンは、米国東部 (オハイオ) リージョンなど AWS Private CA、 でサポートされている AWS リージョンus-east-2のリージョン識別子を表します。のリストについては AWS Private CA、AWS 「 Certificate Manager Private Certificate Authority Endpoints and Quotas」を参照してください。

詳細については、「Amazon AWS Private CA VPC ユーザーガイド」の「VPC エンドポイント (AWS PrivateLink)」を参照してください。

の Amazon VPC エンドポイントのポリシーを作成して AWS Private CA 、以下を指定できます。

  • アクションを実行できるプリンシパル

  • 実行可能なアクション

  • アクションを実行できるリソース

詳細については、「Amazon VPC ガイド」の「VPC エンドポイントを使用したサービスへのアクセスの制御」を参照してください。

例 – AWS Private CA アクションの VPC エンドポイントポリシー

エンドポイントにアタッチすると、次のポリシーは、すべてのプリンシパルに AWS Private CA アクション IssueCertificateDescribeCertificateAuthority、、GetCertificateGetCertificateAuthorityCertificateListPermissions、および へのアクセスを許可しますListTags。各スタンザのリソースはプライベート CA です。最初のスタンザは、指定されたプライベート CA と証明書テンプレートを使用して、エンドエンティティ証明書の作成を許可します。使用するテンプレートを制御しない場合、Condition セクションは必要ありません。ただし、これを削除すると、すべてのプリンシパルが CA 認定とエンドエンティティ証明書を交付できるようになります。

{
      "Statement":[
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:IssueCertificate"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ],
            "Condition":{
               "StringEquals":{
                  "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
               }
            }
         },
         {
            "Principal":"*",
            "Effect":"Allow",
            "Action":[
               "acm-pca:DescribeCertificateAuthority",
               "acm-pca:GetCertificate",
               "acm-pca:GetCertificateAuthorityCertificate",
               "acm-pca:ListPermissions",
               "acm-pca:ListTags"
            ],
            "Resource":[
               "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
            ]
         }
      ]
   }