기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
SCEP용 커넥터 설정
이 섹션의 절차는 Connector for SCEP를 시작하는 데 도움이 됩니다. 이미 AWS 계정을 생성했다고 가정합니다. 이 페이지의 단계를 완료한 후 SCEP용 커넥터 생성을 진행할 수 있습니다.
주제
1단계: AWS Identity and Access Management 정책 생성
SCEP용 커넥터를 생성하려면 Connector for IAM에 커넥터에 필요한 리소스를 생성 및 관리하고 사용자를 대신하여 인증서를 발급할 수 있는 기능을 부여하는 SCEP 정책을 생성해야 합니다. IAM에 대한 자세한 내용은 IAM 사용 설명서의 IAM란 무엇입니까?를 참조하세요.
다음 예는 Connector for SCEP에 사용할 수 있는 고객 관리형 정책입니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "pca-connector-scep:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListCertificateAuthorities", "acm-pca:ListTags", "acm-pca:PutPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "acm-pca:IssueCertificate", "Resource": "*", "Condition": { "StringLike": { "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/BlankEndEntityCertificate_APICSRPassthrough/V*" }, "ForAnyValue:StringEquals": { "aws:CalledVia": "pca-connector-scep.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ram:CreateResourceShare", "ram:GetResourcePolicies", "ram:GetResourceShareAssociations", "ram:GetResourceShares", "ram:ListPrincipals", "ram:ListResources", "ram:ListResourceSharePermissions", "ram:ListResourceTypes" ], "Resource": "*" } ] }
2단계: 프라이빗 CA 생성
Connector for SCEP를 사용하려면의 프라이빗 CA를 커넥터 AWS Private Certificate Authority 에 연결해야 합니다. SCEP 프로토콜에 존재하는 고유한 보안 취약성으로 인해 커넥터에만 해당하는 프라이빗 CA를 사용하는 것이 좋습니다.
프라이빗 CA는 다음 요구 사항을 충족해야 합니다.
활성 상태여야 하며 범용 작동 모드를 사용해야 합니다.
프라이빗 CA를 소유해야 합니다. 계정 간 공유를 통해 공유된 프라이빗 CA는 사용할 수 없습니다.
Connector for SCEP와 함께 사용하도록 프라이빗 CA를 구성할 때 다음 고려 사항에 유의하세요.
DNS 이름 제약 조건 - DNS 디바이스에 대해 발급된 인증서에서 허용되거나 금지된 도메인을 제어하는 방법으로 SCEP 이름 제약 조건을 사용하는 것이 좋습니다. 자세한 내용은 에서 DNS 이름 제약 조건을 적용하는 방법을 참조하세요 AWS Private Certificate Authority
. 취소 - 프라이빗 CA에서 OCSP 또는 CRLs를 활성화하여 취소를 허용합니다. 자세한 내용은 AWS Private CA 인증서 취소 방법 계획 단원을 참조하십시오.
PII - CA 인증서에 개인 식별 정보(PII) 또는 기타 기밀 또는 민감한 정보를 추가하지 않는 것이 좋습니다. 보안 악용이 발생할 경우 민감한 정보의 노출을 제한하는 데 도움이 됩니다.
루트 인증서를 신뢰 스토어에 저장 - 인증서와 GetCertificateAuthorityCertificate의 반환 값을 확인할 수 있도록 루트 CA 인증서를 디바이스 신뢰 스토어에 저장합니다. 트러스트 스토어와 관련된 트러스트 스토어에 대한 자세한 내용은 섹션을 AWS Private CA참조하세요루트 CA .
프라이빗 CA를 생성하는 방법에 대한 자세한 내용은 섹션을 참조하세요에서 프라이빗 CA 생성 AWS Private CA.
3단계:를 사용하여 리소스 공유 생성 AWS Resource Access Manager
Connector for SCEP를 프로그래밍 방식으로 사용하는 경우 AWS Command Line Interface AWS SDK, AWS Resource Access Manager 서비스 보안 주체 공유를 사용하여 Connector for SCEP와 프라이빗 CA를 공유SCEPAPI해야 합니다. 이렇게 하면 Connector for SCEP가 프라이빗 CA에 대한 공유 액세스 권한을 부여합니다. AWS 콘솔에서 커넥터를 생성하면 리소스 공유가 자동으로 생성됩니다. 리소스 공유에 대한 자세한 내용은 AWS RAM 사용 설명서의 리소스 공유 생성을 참조하세요.
를 사용하여 리소스 공유를 생성하려면 명령을 AWS RAM create-resource-share 사용할 AWS CLI수 있습니다. 다음 명령은 리소스 공유를 생성합니다. 공유하려는 프라이빗 CA의 ARN를의 값으로 지정합니다.resource-arns.
$aws ram create-resource-share \ --regionus-east-1\ --nameMyPcaConnectorScepResourceShare\ --permission-arns arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority \ --resource-arns arn:aws:acm-pca:Region:account:certificate-authority/CA_ID\ --principals pca-connector-scep.amazonaws.com \ --sourcesaccount
호출하는 서비스 보안 주체CreateConnector는 프라이빗 CA에 대한 인증서 발급 권한이 있습니다. Connector for SCEP를 사용하는 서비스 보안 주체가 AWS Private CA 리소스에 대한 일반적인 액세스 권한을 갖지 못하도록 하려면를 사용하여 권한을 제한합니다CalledVia.
