Импортированные частные сертификаты не могут быть связаны с Api Gateway в AWS

#amazon-web-services #terraform #aws-certificate-manager

#amazon-web-services #terraform #aws-certificate-manager

Вопрос:

Мы думаем об использовании нашего собственного частного центра сертификации в AWS. Используя информацию, представленную здесь, мы смогли создать частный сертификат и импортировать его в ACM. Однако, когда мы пытаемся сослаться на этот частный сертификат при создании пользовательского домена в APIGateway (через terraform), мы получаем сообщение об ошибке, что сертификат не существует. Если мы попытаемся создать пользовательский домен через консоль AWS, сертификат вообще не отображается.. Есть ли у сертификатов какая-либо политика iam, связанная с ними?

Ответ №1:

Частный центр сертификации ACM предназначен только для внутреннего использования в вашей компании:

Эта услуга предназначена для корпоративных клиентов, создающих инфраструктуру открытых ключей (PKI) внутри облака AWS и предназначенных для частного использования в организации

Сертификаты, выданные частным центром сертификации, являются надежными только в вашей организации, а не в Интернете.

Вы не можете использовать их на API Gateway. Для этого вам требуются общедоступные сертификаты, которые вы можете получить бесплатно в ACM.

Если ваш частный сертификат управляется ACM, вы должны иметь возможность использовать его на API gateway:

С помощью ACM Private CA вы можете делегировать ACM управление сертификатами для сертификатов, используемых с интегрированными в ACM службами, такими как Elastic Load Balancing и API Gateway.

Комментарии:

1. Спасибо за ответ. Мы используем это в частном rest api через конечную точку vpc. Можем ли мы использовать наш собственный частный центр сертификации в AWS или это запрещено

2. @MadhavShenoy Я обновил ответ. Короче говоря, да, это должно быть возможно, при условии, что ваш частный центр сертификации управляется ACM.