Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utiliser les rapports d'audit avec votre autorité de certification privée
Vous pouvez créer un rapport d'audit pour répertorier tous les certificats émis ou révoqués par votre autorité de certification privée. Le rapport est enregistré dans un compartiment S3, nouveau ou existant, que vous spécifiez.
Pour de plus amples informations sur l'ajout d'une protection par chiffrement à vos rapports d'audit, veuillez consulter [Chiffrer vos rapports d'audit](#audit-report-encryption).
Le chemin et le nom du fichier du rapport d'audit sont les suivants. L'ARN d'un compartiment Amazon S3 est la valeur de`amzn-s3-demo-bucket`. `CA_ID`est l'identifiant unique de l'autorité de certification émettrice. `UUID`est l'identifiant unique d'un rapport d'audit.
```
amzn-s3-demo-bucket/audit-report/CA_ID/UUID.[json|csv]
```
Vous pouvez générer un nouveau rapport toutes les 30 minutes et le télécharger à partir de votre compartiment. L'exemple suivant montre un rapport séparé par des virgules.
```
awsAccountId,requestedByServicePrincipal,certificateArn,serial,subject,notBefore,notAfter,issuedAt,revokedAt,revocationReason,templateArn
123456789012,,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4e5f6a,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T21:43:57+0000,2020-04-07T22:43:57+0000,2020-03-02T22:43:58+0000,,UNSPECIFIED,arn:aws:acm-pca:::template/EndEntityCertificate/V1
123456789012,acm.amazonaws.com,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T20:53:39+0000,2020-04-07T21:53:39+0000,2020-03-02T21:53:40+0000,,,arn:aws:acm-pca:::template/EndEntityCertificate/V1
```
L'exemple suivant illustre un rapport au format JSON.
```
[
{
"awsAccountId":"123456789012",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff",
"subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2020-02-26T18:39:57+0000",
"notAfter":"2021-02-26T19:39:57+0000",
"issuedAt":"2020-02-26T19:39:58+0000",
"revokedAt":"2020-02-26T20:00:36+0000",
"revocationReason":"UNSPECIFIED",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
},
{
"awsAccountId":"123456789012",
"requestedByServicePrincipal":"acm.amazonaws.com",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00",
"subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2020-01-22T20:10:49+0000",
"notAfter":"2021-01-17T21:10:49+0000",
"issuedAt":"2020-01-22T21:10:49+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
]
```
**Note**
Lors du AWS Certificate Manager renouvellement d'un certificat, le rapport d'audit privé de l'autorité de certification remplit le `requestedByServicePrincipal` champ avec. `acm.amazonaws.com` Cela indique que le AWS Certificate Manager service a fait appel `IssueCertificate` à l' Autorité de certification privée AWS API pour le compte d'un client afin de renouveler le certificat.
## Préparation d'un compartiment Amazon S3 pour les rapports d'audit
**Important**
AWS CA privée ne prend pas en charge l'utilisation d'[Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html). Si vous activez Object Lock sur votre bucket, vous AWS CA privée ne pouvez pas y écrire de rapports d'audit.
Pour stocker vos rapports d'audit, vous devez préparer un compartiment Amazon S3. Pour plus d'informations, consultez [Comment créer un compartiment S3 ?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html)
Votre compartiment S3 doit être sécurisé par une politique d'autorisation qui permet d'accéder AWS CA privée au compartiment S3 que vous spécifiez et d'y écrire. Les utilisateurs autorisés et les responsables du service doivent être `Put` autorisés Autorité de certification privée AWS à placer des objets dans le compartiment et `Get` à les récupérer. Nous vous recommandons d'appliquer la politique ci-dessous, qui restreint l'accès à un AWS compte et à l'ARN d'une autorité de certification privée. Vous pouvez également utiliser la clé de condition [aws : SourceOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid) pour restreindre l'accès à une organisation spécifique dans AWS Organizations. Pour plus d'informations sur les politiques relatives aux compartiments, consultez [les politiques relatives aux compartiments pour Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html).
## Création d'un rapport d'audit
Vous pouvez créer un rapport d'audit à partir de la console ou du AWS CLI.
**Pour créer un rapport d'audit (console)**
1. Connectez-vous à votre AWS compte et ouvrez la Autorité de certification privée AWS console à la [https://console.aws.amazon.com/acm-pca/maison](https://console.aws.amazon.com/acm-pca/home).
1. Sur la page **Autorités de certification privées**, choisissez votre autorité de certification privée dans la liste.
1. Dans le menu **Actions**, choisissez **Générer un rapport d'audit**.
1. Sous **Destination du rapport d'audit**, pour **Créer un nouveau compartiment S3 ?** , choisissez **Oui** et saisissez un nom de compartiment unique, ou choisissez **Non** et choisissez un compartiment existant dans la liste.
Si vous choisissez **Oui**, Autorité de certification privée AWS crée et attache la politique par défaut à votre compartiment. La politique par défaut inclut une clé de `aws:SourceAccount` condition qui limite l'accès à un AWS compte spécifique. Si vous souhaitez restreindre davantage l'accès, vous pouvez ajouter d'autres clés de condition à la politique, comme dans l'[exemple précédent](#s3-access).
Si vous choisissez **Non**, vous devez associer une politique à votre compartiment avant de pouvoir générer un rapport d'audit. Utilisez le modèle de politique décrit dans[Préparation d'un compartiment Amazon S3 pour les rapports d'audit](#s3-access). Pour plus d'informations sur l'attachement d'une politique, consultez [Ajouter une politique de compartiment à l'aide de la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html).
1. Sous **Format de sortie**, choisissez **JSON** pour la notation des JavaScript objets ou **CSV pour les valeurs** séparées par des virgules.
1. Choisissez **Generate audit report (Générer un rapport d'audit)**.
**Pour créer un rapport d'audit (AWS CLI)**
1. Si vous n'avez pas encore de compartiment S3 à utiliser, [créez-en un](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html).
1. Associez une politique à votre compartiment. Utilisez le modèle de politique décrit dans[Préparation d'un compartiment Amazon S3 pour les rapports d'audit](#s3-access). Pour plus d'informations sur l'attachement d'une politique, consultez [Ajouter une politique de compartiment à l'aide de la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)
1. Utilisez la commande [create-certificate-authority-audit-report](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority-audit-report.html) pour créer le rapport d'audit et le placer dans le compartiment S3 préparé.
```
$ aws acm-pca create-certificate-authority-audit-report \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--s3-bucket-name amzn-s3-demo-bucket \
--audit-report-response-format JSON
```
## Récupérer un rapport d'audit
Pour récupérer un rapport d'audit à des fins d'inspection, utilisez la console, l'API, la CLI ou le SDK Amazon S3. Pour plus d'informations, consultez la section [Téléchargement d'un objet](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
## Chiffrer vos rapports d'audit
Vous pouvez éventuellement configurer le chiffrement sur le compartiment Amazon S3 contenant vos rapports d'audit. Autorité de certification privée AWS prend en charge deux modes de chiffrement pour les actifs dans S3 :
+ Chiffrement automatique côté serveur avec des clés AES-256 gérées par Amazon S3.
+ Chiffrement géré par le client à l'aide AWS Key Management Service et AWS KMS key configuré selon vos spécifications.
**Note**
Autorité de certification privée AWS ne prend pas en charge l'utilisation de clés KMS par défaut générées automatiquement par S3.
Les procédures suivantes décrivent comment configurer chacune des options de chiffrement.
**Pour configurer le chiffrement automatique**
Procédez comme suit pour activer le chiffrement côté serveur S3.
1. Ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le tableau **Buckets**, choisissez le compartiment qui contiendra vos Autorité de certification privée AWS actifs.
1. Sur la page de votre compartiment, choisissez l'onglet **Propriétés** .
1. Choisissez la carte de **Chiffrement par défaut**.
1. Sélectionnez **Activer**.
1. Choisissez la **clé Amazon S3 (SSE-S3**).
1. Choisissez **Save Changes (Enregistrer les modifications)**.
**Pour configurer le chiffrement personnalisé**
Procédez comme suit pour activer le chiffrement à l'aide d'une clé personnalisée.
1. Ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Dans le tableau **Buckets**, choisissez le compartiment qui contiendra vos Autorité de certification privée AWS actifs.
1. Sur la page de votre compartiment, choisissez l'onglet **Propriétés** .
1. Choisissez la carte de **Chiffrement par défaut**.
1. Sélectionnez **Activer**.
1. Choisissez **AWS Key Management Service la clé (SSE-KMS**).
1. Choisissez **Choisir parmi vos AWS KMS clés** ou **Entrer un AWS KMS key ARN**.
1. Choisissez **Save Changes (Enregistrer les modifications)**.
1. (Facultatif) Si vous ne possédez pas encore de clé KMS, créez-en une à l'aide de la commande AWS CLI [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html) suivante :
```
$ aws kms create-key
```
La sortie contient l'ID de clé et le nom de ressource Amazon (ARN) de la clé KMS. Voici un exemple de résultat :
```
{
"KeyMetadata": {
"KeyId": "01234567-89ab-cdef-0123-456789abcdef",
"Description": "",
"Enabled": true,
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1478910250.94,
"Arn": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef",
"AWSAccountId": "123456789012"
}
}
```
1. En suivant les étapes suivantes, vous autorisez le principal du Autorité de certification privée AWS service à utiliser la clé KMS. Par défaut, toutes les clés KMS sont privées ; seul le propriétaire de la ressource peut utiliser une clé KMS pour chiffrer et déchiffrer les données. Cependant, le propriétaire de la ressource peut accorder à d'autres utilisateurs et ressources des autorisations d'accès à la clé KMS. Le principal de service doit se trouver dans la même région que celle où la clé KMS est stockée.
1. Enregistrez d'abord la politique par défaut pour votre clé KMS à l'`policy.json`aide de la [get-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)commande suivante :
```
$ aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json
```
1. Ouvrez le fichier `policy.json` dans un éditeur de texte. Sélectionnez l'une des déclarations de politique suivantes et ajoutez-la à la politique existante.
Si votre clé de compartiment Amazon S3 est *activée*, utilisez l'instruction suivante :
```
{
"Sid":"Allow ACM-PCA use of the key",
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource":"*",
"Condition":{
"StringLike":{
"kms:EncryptionContext:aws:s3:arn":"arn:aws:s3:::bucket-name"
}
}
}
```
Si votre clé de compartiment Amazon S3 est *désactivée*, utilisez l'instruction suivante :
```
{
"Sid":"Allow ACM-PCA use of the key",
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource":"*",
"Condition":{
"StringLike":{
"kms:EncryptionContext:aws:s3:arn":[
"arn:aws:s3:::bucket-name/acm-pca-permission-test-key",
"arn:aws:s3:::bucket-name/acm-pca-permission-test-key-private",
"arn:aws:s3:::bucket-name/audit-report/*",
"arn:aws:s3:::bucket-name/crl/*"
]
}
}
}
```
1. Enfin, appliquez la politique mise à jour à l'aide de la [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)commande suivante :
```
$ aws kms put-key-policy --key-id key_id --policy-name default --policy file://policy.json
```