Gunakan SSP AMS untuk menyediakan AWS Private Certificate Authority di akun AMS Anda - Panduan Pengguna Tingkat Lanjut AMS
AWS Private CA di FAQ AWS Managed Services

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan SSP AMS untuk menyediakan AWS Private Certificate Authority di akun AMS Anda

Gunakan mode AMS Self-Service Provisioning (SSP) untuk mengakses AWS Private Certificate Authority kapabilitas secara langsung di akun terkelola AMS Anda. Sertifikat privat digunakan untuk mengidentifikasi dan mengamankan komunikasi antara sumber daya yang terhubung di jaringan pribadi, seperti server, seluler, dan perangkat dan aplikasi IoT. AWS Private CA adalah layanan CA pribadi terkelola yang membantu Anda mengelola siklus hidup sertifikat pribadi Anda dengan mudah dan aman. AWS Private CA memberi Anda layanan CA pribadi yang sangat tersedia tanpa investasi di muka dan biaya pemeliharaan berkelanjutan untuk mengoperasikan CA pribadi Anda sendiri. AWS Private CA memperluas kemampuan manajemen sertifikat ACM ke sertifikat pribadi, memungkinkan Anda untuk membuat dan mengelola sertifikat publik dan swasta secara terpusat. Anda dapat dengan mudah membuat dan menerapkan sertifikat pribadi untuk AWS sumber daya menggunakan AWS Management Console atau ACM API. Untuk EC2 instance, container, perangkat IoT, dan sumber daya lokal, Anda dapat dengan mudah membuat dan melacak sertifikat pribadi dan menggunakan kode otomatisasi sisi klien Anda sendiri untuk menerapkannya. Anda juga memiliki fleksibilitas untuk membuat sertifikat pribadi dan mengelolanya sendiri untuk aplikasi yang memerlukan masa pakai sertifikat khusus, algoritme kunci, atau nama sumber daya Untuk mempelajari lebih lanjut, lihat. AWS Private CA

AWS Private CA di FAQ AWS Managed Services

Pertanyaan dan jawaban umum:

T: Bagaimana cara meminta akses AWS Private CA di akun AMS saya?

Meminta akses melalui pengajuan AWS Layanan RFC (Manajemen | layanan | AWS Layanan yang Kompatibel). Melalui RFC ini peran IAM berikut akan disediakan di akun Anda:. customer_acm_pca_role Setelah disediakan di akun Anda, Anda harus memasukkan peran dalam solusi federasi Anda.

T: Apa batasan untuk menggunakan AWS Private CA?

Saat ini, AWS Resource Access Manager (AWS RAM) tidak dapat digunakan untuk berbagi AWS Private CA lintas akun Anda.

T: Apa prasyarat atau dependensi yang digunakan? AWS Private CA

1. Jika Anda berencana untuk membuat CRL, Anda memerlukan ember S3 untuk menyimpannya. AWS Private CA secara otomatis menyetor CRL di bucket Amazon S3 yang Anda tunjuk dan memperbaruinya secara berkala. Merupakan syarat awal bahwa bucket S3 memiliki kebijakan bucket di bawah ini sebelum Anda dapat menyiapkan CRL. Untuk melanjutkan permintaan ini; buat RFC dengan ct-0fpjlxa808sh2 (Manajemen | Komponen tumpukan lanjutan | Penyimpanan S3 | Kebijakan pembaruan) sebagai berikut:

  • Berikan nama bucket S3 atau ARN.

  • Salin kebijakan di bawah ini ke RFC dan ganti bucket-name dengan nama bucket S3 yang Anda inginkan.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name/*",
            "arn:aws:s3:::bucket-name"
         ]
      }
   ]
}

2. Jika bucket S3 di atas dienkripsi, maka Service Principal acm-pca.amazonaws.com memerlukan izin untuk mendekripsi. Untuk melanjutkan permintaan ini; buat RFC dengan ct-3ovo7px2vsa6n (Manajemen | Komponen tumpukan lanjutan | Kunci KMS | Pembaruan) sebagai berikut:

  • Berikan ARN Kunci KMS di mana kebijakan harus diperbarui.

  • Salin kebijakan di bawah ini ke RFC dan ganti bucket-name dengan nama bucket S3 yang Anda inginkan.

{
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":[
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key",
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private",
            "arn:aws:s3:::bucket_name/audit-report/*",
            "arn:aws:s3:::bucket_name/crl/*"
         ]
      }
   }
}

3. AWS Private CA CRLs tidak mendukung pengaturan S3 “Blokir akses publik ke ember dan objek yang diberikan melalui daftar kontrol akses baru (ACLs)”. Anda harus menonaktifkan pengaturan ini dengan akun S3 dan bucket untuk memungkinkan penulisan CRLs seperti yang disebutkan di Cara membuat dan menyimpan CRL Anda dengan aman untuk ACM Private CA Jika Anda ingin menonaktifkan, buat RFC baru dengan ct-0xdawir96cy7k (Manajemen | Lainnya | Lainnya | Pembaruan) dan lampirkan Penerimaan Risiko. AWS Private CA Jika Anda memiliki pertanyaan tentang penerimaan risiko, hubungi Cloud Architect Anda.