Utilisez AMS SSP pour approvisionner AWS Autorité de certification privée votre compte AMS - Guide de l'utilisateur avancé d'AMS
Autorité de certification privée AWS dans la FAQ AWS Managed Services

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisez AMS SSP pour approvisionner AWS Autorité de certification privée votre compte AMS

Utilisez le mode AMS Self-Service Provisioning (SSP) pour accéder aux AWS Autorité de certification privée fonctionnalités directement dans votre compte géré AMS. Les certificats privés sont utilisés pour identifier et sécuriser les communications entre les ressources connectées sur les réseaux privés, telles que les serveurs, les appareils mobiles et les applications IoT. Autorité de certification privée AWS est un service d'autorité de certification privée géré qui vous aide à gérer facilement et en toute sécurité le cycle de vie de vos certificats privés. Autorité de certification privée AWS vous fournit un service d'autorité de certification privée hautement disponible, sans l'investissement initial et les coûts de maintenance permanents liés à l'exploitation de votre propre autorité de certification privée. Autorité de certification privée AWS étend les fonctionnalités de gestion des certificats d'ACM aux certificats privés, ce qui vous permet de créer et de gérer des certificats publics et privés de manière centralisée. Vous pouvez facilement créer et déployer des certificats privés pour vos AWS ressources à l'aide de la console AWS de gestion ou de l'API ACM. Pour les EC2 instances, les conteneurs, les appareils IoT et les ressources sur site, vous pouvez facilement créer et suivre des certificats privés et utiliser votre propre code d'automatisation côté client pour les déployer. Vous avez également la possibilité de créer des certificats privés et de les gérer vous-même pour les applications qui nécessitent des durées de vie de certificats, des algorithmes clés ou des noms de ressources personnalisés. Pour en savoir plus, consultez Autorité de certification privée AWS.

Autorité de certification privée AWS dans la FAQ AWS Managed Services

Questions et réponses courantes :

Q : Comment puis-je demander l'accès Autorité de certification privée AWS à mon compte AMS ?

Demandez l'accès via la soumission de la RFC sur les AWS services (Gestion | AWS service | Service compatible). Grâce à cette RFC, le rôle IAM suivant sera fourni dans votre compte :. customer_acm_pca_role Une fois configuré dans votre compte, vous devez intégrer le rôle dans votre solution de fédération.

Q : Quelles sont les restrictions relatives à l'utilisation du Autorité de certification privée AWS ?

À l'heure actuelle, AWS Resource Access Manager (AWS RAM) ne peut pas être utilisé pour partager vos Autorité de certification privée AWS comptes entre plusieurs comptes.

Q : Quels sont les prérequis ou les dépendances nécessaires à l'utilisation ? Autorité de certification privée AWS

1. Si vous envisagez de créer une CRL, vous avez besoin d'un compartiment S3 pour la stocker. Autorité de certification privée AWS dépose automatiquement la CRL dans le compartiment Amazon S3 que vous désignez et la met à jour régulièrement. Avant de pouvoir configurer une CRL, il est indispensable que le compartiment S3 dispose de la politique de compartiment ci-dessous. Pour traiter cette demande, créez une RFC avec ct-0fpjlxa808sh2 (Gestion | Composants de pile avancés | Stockage S3 | Politique de mise à jour) comme suit :

  • Indiquez le nom ou l'ARN du compartiment S3.

  • Copiez la politique ci-dessous sur RFC et remplacez-la par le nom bucket-name de compartiment S3 de votre choix.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name/*",
            "arn:aws:s3:::bucket-name"
         ]
      }
   ]
}

2. Si le compartiment S3 ci-dessus est chiffré, le principal de service acm-pca.amazonaws.com a besoin d'autorisations pour le déchiffrer. Pour traiter cette demande, créez une RFC avec ct-3ovo7px2vsa6n (Gestion | Composants de pile avancés | clé KMS | Mise à jour) comme suit :

  • Indiquez l'ARN de la clé KMS sur laquelle la politique doit être mise à jour.

  • Copiez la politique ci-dessous sur RFC et remplacez-la par le nom bucket-name de compartiment S3 de votre choix.

{
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":[
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key",
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private",
            "arn:aws:s3:::bucket_name/audit-report/*",
            "arn:aws:s3:::bucket_name/crl/*"
         ]
      }
   }
}

3. Autorité de certification privée AWS CRLs ne prennent pas en charge le paramètre S3 « Bloquer l'accès public aux compartiments et aux objets accordés par le biais de nouvelles listes de contrôle d'accès (ACLs) ». Vous devez désactiver ce paramètre avec le compte et le compartiment S3 afin de permettre l' Autorité de certification privée AWS écriture, CRLs comme indiqué dans Comment créer et stocker en toute sécurité votre CRL pour ACM Private CA. Si vous souhaitez le désactiver, créez une nouvelle RFC avec ct-0xdawir96cy7k (Management | Other | Other | Update) et joignez une acceptation des risques. Si vous avez des questions sur l'acceptation des risques, contactez votre architecte cloud.