Utilice AMS SSP para aprovisionar AWS Private Certificate Authority en su cuenta AMS - Guía de usuario avanzada de AMS
Autoridad de certificación privada de AWS en Preguntas frecuentes sobre AWS Managed Services

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Utilice AMS SSP para aprovisionar AWS Private Certificate Authority en su cuenta AMS

Utilice el modo de aprovisionamiento de autoservicio (SSP) de AMS para acceder directamente a AWS Private Certificate Authority las funciones de su cuenta gestionada por AMS. Los certificados privados se utilizan para identificar y proteger la comunicación entre los recursos conectados en redes privadas, como servidores, dispositivos y aplicaciones móviles y de IoT. Autoridad de certificación privada de AWS es un servicio de CA privado gestionado que le ayuda a gestionar de forma fácil y segura el ciclo de vida de sus certificados privados. Autoridad de certificación privada de AWS le proporciona un servicio de CA privada de alta disponibilidad sin la inversión inicial ni los costos de mantenimiento continuos que implica operar su propia CA privada. Autoridad de certificación privada de AWS extiende las capacidades de administración de certificados de ACM a los certificados privados, lo que le permite crear y administrar certificados públicos y privados de forma centralizada. Puede crear e implementar fácilmente certificados privados para sus AWS recursos mediante la consola de AWS administración o la API de ACM. Para EC2 instancias, contenedores, dispositivos de IoT y recursos locales, puede crear y rastrear certificados privados fácilmente y usar su propio código de automatización del lado del cliente para implementarlos. También tiene la flexibilidad de crear certificados privados y administrarlos usted mismo para las aplicaciones que requieren una vida útil personalizada de los certificados, algoritmos clave o nombres de recursos. Para obtener más información, consulte. Autoridad de certificación privada de AWS

Autoridad de certificación privada de AWS en Preguntas frecuentes sobre AWS Managed Services

Preguntas y respuestas frecuentes:

P: ¿Cómo solicito el acceso Autoridad de certificación privada de AWS a mi cuenta AMS?

Solicite el acceso mediante el envío del AWS RFC (Administración | AWS servicio | Servicio compatible). Mediante este RFC, se aprovisionará la siguiente función de IAM en su cuenta:. customer_acm_pca_role Una vez aprovisionado en su cuenta, debe incorporar el rol en su solución de federación.

P: ¿Cuáles son las restricciones de uso del? Autoridad de certificación privada de AWS

Actualmente, AWS Resource Access Manager (AWS RAM) no se puede usar para compartir Autoridad de certificación privada de AWS cuentas múltiples.

P: ¿Cuáles son los requisitos previos o las dependencias para su uso? Autoridad de certificación privada de AWS

1. Si planea crear una CRL, necesitará un bucket de S3 para guardarla. Autoridad de certificación privada de AWS deposita automáticamente la CRL en el bucket de Amazon S3 que designe y la actualiza periódicamente. Es un requisito previo que el bucket de S3 tenga la siguiente política de bucket antes de poder configurar una CRL. Para continuar con esta solicitud, cree un RFC con ct-0fpjlxa808sh2 (Administración | Componentes de pila avanzados | Almacenamiento en S3 | Política de actualizaciones) de la siguiente manera:

  • Proporcione el nombre o el ARN del bucket de S3.

  • Copia la siguiente política en el RFC y sustitúyela por el bucket-name nombre del bucket de S3 que desees.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name/*",
            "arn:aws:s3:::bucket-name"
         ]
      }
   ]
}

2. Si el depósito de S3 anterior está cifrado, el director del servicio, acm-pca.amazonaws.com, necesitará permisos para descifrarlo. Para continuar con esta solicitud, cree un RFC con ct-3ovo7px2vsa6n (Administración | Componentes de pila avanzados | Clave KMS | Actualización) de la siguiente manera:

  • Proporcione el ARN clave de KMS en el que se debe actualizar la política.

  • Copie la siguiente política en el RFC y sustitúyala por el bucket-name nombre del bucket de S3 que desee.

{
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":[
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key",
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private",
            "arn:aws:s3:::bucket_name/audit-report/*",
            "arn:aws:s3:::bucket_name/crl/*"
         ]
      }
   }
}

3. Autoridad de certificación privada de AWS CRLs no admiten la configuración de S3 «Bloquear el acceso público a los depósitos y objetos concedidos mediante nuevas listas de control de acceso (ACLs)». Debe deshabilitar esta configuración con la cuenta y el bucket de S3 para poder escribir, CRLs como se menciona en Cómo crear y almacenar de forma segura su CRL para ACM Private CA. Si desea deshabilitarla, cree una nueva RFC con ct-0xdawir96cy7k (Administración | Otros | Otros | Actualizar) y adjunte una Aceptación de riesgo. Autoridad de certificación privada de AWS Si tiene alguna duda sobre la aceptación del riesgo, póngase en contacto con su arquitecto de nube.