Utilizza AMS SSP per il provisioning AWS Autorità di certificazione privata nel tuo account AMS - Guida avanzata all'onboarding AMS
CA privata AWS nelle domande frequenti su AWS Managed Services

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizza AMS SSP per il provisioning AWS Autorità di certificazione privata nel tuo account AMS

Utilizza la modalità AMS Self-Service Provisioning (SSP) per accedere alle AWS Autorità di certificazione privata funzionalità direttamente nel tuo account gestito da AMS. I certificati privati vengono utilizzati per identificare e proteggere le comunicazioni tra risorse connesse su reti private, come server, dispositivi mobili e applicazioni IoT. CA privata AWS è un servizio CA privato gestito che consente di gestire in modo semplice e sicuro il ciclo di vita dei certificati privati. CA privata AWS offre un servizio CA privato ad alta disponibilità senza gli investimenti iniziali e i costi di manutenzione continui legati alla gestione di una CA privata. CA privata AWS estende le funzionalità di gestione dei certificati di ACM ai certificati privati, consentendoti di creare e gestire certificati pubblici e privati in modo centralizzato. Puoi creare e distribuire facilmente certificati privati per AWS le tue risorse utilizzando la console di AWS gestione o l'API ACM. Per EC2 istanze, contenitori, dispositivi IoT e risorse locali, puoi creare e tracciare facilmente certificati privati e utilizzare il tuo codice di automazione lato client per distribuirli. Hai anche la flessibilità di creare certificati privati e gestirli tu stesso per applicazioni che richiedono durate dei certificati, algoritmi chiave o nomi di risorse personalizzati. Per ulteriori informazioni, consulta. CA privata AWS

CA privata AWS nelle domande frequenti su AWS Managed Services

Domande e risposte comuni:

D: Come posso richiedere l'accesso CA privata AWS al mio account AMS?

Richiedi l'accesso tramite l'invio dei AWS Servizi RFC (Gestione | AWS servizio | Servizio compatibile). Tramite questa RFC, nel tuo account verrà assegnato il seguente ruolo IAM:. customer_acm_pca_role Una volta effettuato il provisioning nel tuo account, devi integrare il ruolo nella tua soluzione federativa.

D: Quali sono le restrizioni all'utilizzo di? CA privata AWS

Attualmente, AWS Resource Access Manager (AWS RAM) non può essere utilizzato per condividere più CA privata AWS account.

D: Quali sono i prerequisiti o le dipendenze per l'utilizzo? CA privata AWS

1. Se intendi creare un CRL, hai bisogno di un bucket S3 in cui archiviarlo. CA privata AWS deposita automaticamente il CRL nel bucket Amazon S3 designato e lo aggiorna periodicamente. È necessario che il bucket S3 disponga della seguente policy relativa ai bucket prima di poter configurare un CRL. Per procedere con questa richiesta, crea un RFC con ct-0fpjlxa808sh2 (Gestione | Advanced stack components | S3 storage | Update policy) come segue:

  • Fornisci il nome o l'ARN del bucket S3.

  • Copia la seguente policy su RFC e sostituiscila bucket-name con il nome del bucket S3 desiderato.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name/*",
            "arn:aws:s3:::bucket-name"
         ]
      }
   ]
}

2. Se il bucket S3 di cui sopra è crittografato, il Service Principal acm-pca.amazonaws.com richiede le autorizzazioni per la decrittografia. Per procedere con questa richiesta, crea un RFC con ct-3ovo7px2vsa6n (Gestione | Advanced stack components | KMS key | Update) come segue:

  • Fornisci l'ARN della chiave KMS su cui deve essere aggiornata la policy.

  • Copia la politica seguente su RFC e sostituiscila bucket-name con il nome del bucket S3 desiderato.

{
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":[
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key",
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private",
            "arn:aws:s3:::bucket_name/audit-report/*",
            "arn:aws:s3:::bucket_name/crl/*"
         ]
      }
   }
}

3. CA privata AWS CRLs non supportano l'impostazione S3 «Blocca l'accesso pubblico a bucket e oggetti concesso tramite nuove liste di controllo degli accessi (ACLs)». È necessario disabilitare questa impostazione con l'account e il bucket S3 per consentire la CA privata AWS scrittura CRLs come indicato in Come creare e archiviare in modo sicuro il CRL per ACM Private CA Se desideri disabilitarlo, crea un nuovo RFC con ct-0xdawir96cy7k (Gestione | Altro | Altro | Aggiornamento) e allega un'accettazione del rischio. Se hai domande sull'accettazione del rischio, contatta il tuo Cloud Architect.