AMS SSP를 사용하여 AMS 계정 AWS Private Certificate Authority 에서 프로비저닝 - AMS 고급 사용 설명서
AWS Private CA AWS Managed Services FAQ의

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AMS SSP를 사용하여 AMS 계정 AWS Private Certificate Authority 에서 프로비저닝

AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하여 AMS 관리형 계정에서 AWS Private Certificate Authority 기능에 직접 액세스할 수 있습니다. 프라이빗 인증서는 프라이빗 네트워크에서 연결된 리소스 간의 통신을 식별하고 보호하는 데 사용됩니다. 서버, 모바일, 및 IoT 디바이스 및 애플리케이션. AWS Private CA 는 프라이빗 인증서의 수명 주기를 쉽고 안전하게 관리하는 데 도움이 되는 관리형 프라이빗 CA 서비스입니다.는 자체 프라이빗 CA 운영에 대한 선결제 투자 및 지속적인 유지 관리 비용 없이 가용성이 높은 프라이빗 CA 서비스를 AWS Private CA 제공합니다.는 ACM의 인증서 관리 기능을 프라이빗 인증서로 AWS Private CA 확장합니다. 를 사용하면 퍼블릭 및 프라이빗 인증서를 중앙에서 생성하고 관리할 수 있습니다. AWS Management Console 또는 ACM API를 사용하여 AWS 리소스에 대한 프라이빗 인증서를 쉽게 생성하고 배포할 수 있습니다. EC2 인스턴스, 컨테이너, IoT 디바이스 및 온프레미스 리소스의 경우 프라이빗 인증서를 쉽게 생성 및 추적하고 자체 클라이언트 측 자동화 코드를 사용하여 배포할 수 있습니다. 또한 사용자 지정 인증서 수명, 키 알고리즘 또는 리소스 이름이 필요한 애플리케이션에 대해 프라이빗 인증서를 생성하고 직접 관리할 수 있는 유연성도 있습니다. 자세한 내용은 섹션을 참조하세요AWS Private CA.

AWS Private CA AWS Managed Services FAQ의

일반적인 질문과 답변:

Q: AMS 계정 AWS Private CA 에서 액세스를 요청하려면 어떻게 해야 하나요?

AWS 서비스 RFC(관리 | AWS 서비스 | 호환 서비스) 제출을 통해 액세스를 요청합니다. 이 RFC를 통해 계정에 다음 IAM 역할이 프로비저닝됩니다customer_acm_pca_role. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.

Q: 사용에 대한 제한 사항은 무엇입니까 AWS Private CA?

현재 AWS Resource Access Manager (AWS RAM)는 교차 계정을 공유하는 데 사용할 수 AWS Private CA 없습니다.

Q:를 사용하기 위한 사전 조건 또는 종속성은 무엇입니까 AWS Private CA?

1. CRL을 생성하려는 경우 저장할 S3 버킷이 필요합니다. AWS Private CA 는 지정한 Amazon S3 버킷에 CRL을 자동으로 저장하고 주기적으로 업데이트합니다. CRL을 설정하려면 먼저 S3 버킷에 아래 버킷 정책이 있어야 합니다. 이 요청을 진행하려면 다음과 같이 ct-0fpjlxa808sh2(관리 | 고급 스택 구성 요소 | S3 스토리지 | 정책 업데이트)를 사용하여 RFC를 생성합니다.

  • S3 버킷 이름 또는 ARN을 입력합니다.

  • 아래 정책을 RFC에 복사하고를 원하는 S3 버킷 이름으로 bucket-name 바꿉니다.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name/*",
            "arn:aws:s3:::bucket-name"
         ]
      }
   ]
}

2. 위의 S3 버킷이 암호화된 경우 서비스 보안 주체 acm-pca.amazonaws.com 복호화 권한이 필요합니다. 이 요청을 진행하려면 다음과 같이 ct-3ovo7px2vsa6n(관리 | 고급 스택 구성 요소 | KMS 키 | 업데이트)을 사용하여 RFC를 생성합니다.

  • 정책을 업데이트해야 하는 KMS 키 ARN을 제공합니다.

  • 아래 정책을 RFC에 복사하고를 원하는 S3 버킷 이름으로 bucket-name 바꿉니다.

{
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":[
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key",
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private",
            "arn:aws:s3:::bucket_name/audit-report/*",
            "arn:aws:s3:::bucket_name/crl/*"
         ]
      }
   }
}

3. AWS Private CA CRLs S3 설정 "새 ACLs)을 통해 부여된 버킷 및 객체에 대한 퍼블릭 액세스 차단"을 지원하지 않습니다. 가 ACM Private CA용 CRLs을 안전하게 생성 및 저장하는 방법에 설명된 대로 CRL을 AWS Private CA 작성하도록 허용하려면 S3 계정 및 버킷에서이 설정을 비활성화해야 합니다. 비활성화하려면 ct-0xdawir96cy7k(관리 | 기타 | 기타 | 업데이트)를 사용하여 새 RFC를 생성하고 위험 수락을 연결합니다. https://aws.amazon.com/blogs/security/how-to-securely-create-and-store-your-crl-for-acm-private-ca/ 위험 수락에 대한 질문이 있는 경우 Cloud Architect에 문의하세요.