設定適用於 SCEP 的 Connector - AWS Private Certificate Authority
步驟 1:建立 AWS Identity and Access Management 政策步驟 2:建立私有 CA步驟 3:建立資源共享

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定適用於 SCEP 的 Connector

本節中的程序可協助您開始使用 Connector for SCEP。其假設您已建立 AWS 帳戶。完成此頁面的步驟後,您可以繼續為 SCEP 建立連接器。

步驟 1:建立 AWS Identity and Access Management 政策

若要建立 SCEP 連接器,您需要建立 IAM 政策,授予 Connector for SCEP 建立和管理連接器所需資源的能力,並代表您發行憑證。如需 IAM 的詳細資訊,請參閱《IAM 使用者指南》中的什麼是 IAM?

下列範例是客戶受管政策,可用於 Connector for SCEP。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "pca-connector-scep:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "acm-pca:DescribeCertificateAuthority",
                "acm-pca:GetCertificate",
                "acm-pca:GetCertificateAuthorityCertificate",
                "acm-pca:ListCertificateAuthorities",
                "acm-pca:ListTags",
                "acm-pca:PutPolicy"                
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "acm-pca:IssueCertificate",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V*"
                },
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": "pca-connector-scep.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:CreateResourceShare",
                "ram:GetResourcePolicies",
                "ram:GetResourceShareAssociations",
                "ram:GetResourceShares",
                "ram:ListPrincipals",
                "ram:ListResources",
                "ram:ListResourceSharePermissions",
                "ram:ListResourceTypes"
            ],
            "Resource": "*"
        }
    ]
}

步驟 2:建立私有 CA

若要使用 Connector for SCEP,您需要將私有 CA 從 關聯 AWS Private Certificate Authority 至連接器。由於 SCEP 通訊協定中存在固有的安全漏洞,我們建議您使用僅供連接器使用的私有 CA。

私有 CA 必須符合下列要求:

  • 它必須處於作用中狀態,並使用一般用途操作模式。

  • 您必須擁有私有 CA。您無法使用透過跨帳戶共用與您共用的私有 CA。

設定私有 CA 以搭配 Connector for SCEP 使用時,請注意下列考量:

如需如何建立私有 CA 的資訊,請參閱 在 中建立私有 CA AWS Private CA

步驟 3:使用 建立資源共享 AWS Resource Access Manager

如果您以程式設計方式使用 Connector for SCEP API、 AWS Command Line Interface AWS SDK 或 Connector for SCEP API,則需要使用 AWS Resource Access Manager 服務主體共用與 Connector for SCEP 共用私有 CA。這可讓 Connector for SCEP 共用存取您的私有 CA。當您在 AWS 主控台中建立連接器時,我們會自動為您建立資源共享。如需資源共用的資訊,請參閱AWS RAM 《 使用者指南》中的建立資源共用

若要使用 建立資源共享 AWS CLI,您可以使用 AWS RAM create-resource-share命令。下列命令會建立資源共享。指定您要共用之私有 CA 的 ARN,做為 resource-arns 的值。

$  aws ram create-resource-share \
--region us-east-1 \
--name MyPcaConnectorScepResourceShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority \
--resource-arns arn:aws:acm-pca:Region:account:certificate-authority/CA_ID \
--principals pca-connector-scep.amazonaws.com \
--sources account

呼叫 的服務主體CreateConnector具有私有 CA 的憑證發行許可。若要防止使用 Connector for SCEP 的服務主體能夠一般存取您的 AWS 私有 CA 資源,請使用 限制其許可CalledVia