Verwenden Sie AMS SSP zur Bereitstellung AWS Private Certificate Authority in Ihrem AMS-Konto - AMS-Onboarding-Leitfaden für Fortgeschrittene
AWS Private CA in häufig gestellten Fragen zu AWS Managed Services

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie AMS SSP zur Bereitstellung AWS Private Certificate Authority in Ihrem AMS-Konto

Verwenden Sie den AMS Self-Service Provisioning (SSP) -Modus, um direkt auf AWS Private Certificate Authority Funktionen in Ihrem von AMS verwalteten Konto zuzugreifen. Private Zertifikate werden zur Identifizierung und Sicherung der Kommunikation zwischen verbundenen Ressourcen in privaten Netzwerken wie Servern, Mobil- und IoT-Geräten und -Anwendungen verwendet. AWS Private CA ist ein verwalteter privater CA-Dienst, mit dem Sie den Lebenszyklus Ihrer privaten Zertifikate einfach und sicher verwalten können. AWS Private CA bietet Ihnen einen hochverfügbaren Service für private Zertifizierungsstellen ohne die Vorabinvestitionen und laufenden Wartungskosten für den Betrieb Ihrer eigenen privaten Zertifizierungsstelle. AWS Private CA erweitert die Zertifikatsverwaltungsfunktionen von ACM auf private Zertifikate, sodass Sie öffentliche und private Zertifikate zentral erstellen und verwalten können. Mithilfe der AWS Management Console oder der ACM-API können Sie ganz einfach private Zertifikate für Ihre AWS Ressourcen erstellen und bereitstellen. Für EC2 Instances, Container, IoT-Geräte und lokale Ressourcen können Sie ganz einfach private Zertifikate erstellen und verfolgen und sie mit Ihrem eigenen clientseitigen Automatisierungscode bereitstellen. Sie haben auch die Flexibilität, private Zertifikate zu erstellen und diese für Anwendungen, die benutzerdefinierte Gültigkeitsdauer von Zertifikaten, Schlüsselalgorithmen oder Ressourcennamen erfordern, selbst zu verwalten. Weitere Informationen finden Sie unter. AWS Private CA

AWS Private CA in häufig gestellten Fragen zu AWS Managed Services

Häufig gestellte Fragen und Antworten:

F: Wie beantrage ich Zugriff AWS Private CA auf mein AMS-Konto?

Beantragen Sie den Zugriff, indem Sie den AWS Services-RFC (Management | AWS Service | Compatible Service) einreichen. Über diesen RFC wird Ihrem Konto die folgende IAM-Rolle zugewiesen:. customer_acm_pca_role Nach der Bereitstellung in Ihrem Konto müssen Sie die Rolle in Ihre Verbundlösung integrieren.

F: Was sind die Einschränkungen bei der AWS Private CA Nutzung von?

Derzeit kann AWS Resource Access Manager (AWS RAM) nicht verwendet werden, um Ihr AWS Private CA Cross-Konto zu teilen.

F: Was sind die Voraussetzungen oder Abhängigkeiten für die Nutzung AWS Private CA?

1. Wenn Sie eine CRL erstellen möchten, benötigen Sie einen S3-Bucket, in dem Sie sie speichern können. AWS Private CA hinterlegt die CRL automatisch in dem von Ihnen Amazon S3 S3-Bucket und aktualisiert sie regelmäßig. Es ist eine Voraussetzung, dass für den S3-Bucket die unten angegebene Bucket-Richtlinie gilt, bevor Sie eine CRL einrichten können. Um mit dieser Anfrage fortzufahren, erstellen Sie einen RFC mit ct-0fpjlxa808sh2 (Verwaltung | Erweiterte Stack-Komponenten | S3-Speicher | Aktualisierungsrichtlinie) wie folgt:

  • Geben Sie den S3-Bucket-Namen oder den ARN an.

  • Kopieren Sie die folgende Richtlinie auf RFC und bucket-name ersetzen Sie sie durch den gewünschten S3-Bucket-Namen.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name/*",
            "arn:aws:s3:::bucket-name"
         ]
      }
   ]
}

2. Wenn der obige S3-Bucket verschlüsselt ist, benötigt der Service Principal acm-pca.amazonaws.com Berechtigungen zum Entschlüsseln. Um mit dieser Anfrage fortzufahren, erstellen Sie einen RFC mit ct-3ovo7px2vsa6n (Management | Erweiterte Stack-Komponenten | KMS-Schlüssel | Update) wie folgt:

  • Geben Sie den KMS-Schlüssel-ARN an, für den die Richtlinie aktualisiert werden muss.

  • Kopieren Sie die folgende Richtlinie auf RFC und bucket-name ersetzen Sie sie durch den gewünschten S3-Bucket-Namen.

{
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":[
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key",
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private",
            "arn:aws:s3:::bucket_name/audit-report/*",
            "arn:aws:s3:::bucket_name/crl/*"
         ]
      }
   }
}

3. AWS Private CA CRLs unterstützt die S3-Einstellung „Öffentlichen Zugriff auf Buckets und Objekte blockieren, die über neue Zugriffskontrolllisten gewährt wurden (ACLs)“ nicht. Sie müssen diese Einstellung für das S3-Konto und den AWS Private CA Bucket deaktivieren, damit sie schreiben können, CRLs wie unter So erstellen und speichern Sie Ihre CRL für ACM Private CA sicher beschrieben. Wenn Sie deaktivieren möchten, erstellen Sie einen neuen RFC mit ct-0xdawir96cy7k (Verwaltung | Andere | Andere | Update) und fügen Sie eine Risikoakzeptanz hinzu. Wenn Sie Fragen zur Risikoakzeptanz haben, wenden Sie sich an Ihren Cloud Architect.