기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 프라이빗 CA에서 감사 보고서 사용
프라이빗 CA가 발급 또는 취소한 모든 인증서를 나열하는 감사 보고서를 만들 수 있습니다. 보고서는 입력 시 지정한 신규 또는 기존 S3 버킷에 저장됩니다.
**참고**
감사 보고서 생성은 1억 개 이상의 인증서를 발급한 인증 기관에서는 지원되지 않습니다.
감사 보고서에 암호화 보호를 추가하는 방법에 대한 자세한 내용은 [감사 보고서 암호화](#audit-report-encryption) 단원을 참조하십시오 .
감사 보고서 파일은 다음과 같은 경로와 파일 이름을 가집니다. Amazon S3 버킷의 ARN은 `amzn-s3-demo-bucket`에 대한 값입니다. `CA_ID`는 발급 CA의 고유 식별자입니다. `UUID`은 감사 보고서의 고유 식별자입니다.
```
amzn-s3-demo-bucket/audit-report/CA_ID/UUID.[json|csv]
```
30분마다 새 보고서를 생성하여 버킷에서 다운로드할 수 있습니다. 다음 예제에서는 CSV로 구분된 보고서를 보여 줍니다.
```
awsAccountId,requestedByServicePrincipal,certificateArn,serial,subject,notBefore,notAfter,issuedAt,revokedAt,revocationReason,templateArn
123456789012,,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4e5f6a,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T21:43:57+0000,2020-04-07T22:43:57+0000,2020-03-02T22:43:58+0000,,UNSPECIFIED,arn:aws:acm-pca:::template/EndEntityCertificate/V1
123456789012,acm.amazonaws.com,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T20:53:39+0000,2020-04-07T21:53:39+0000,2020-03-02T21:53:40+0000,,,arn:aws:acm-pca:::template/EndEntityCertificate/V1
```
다음 예제에서는 JSON 형식의 보고서를 보여줍니다.
```
[
{
"awsAccountId":"123456789012",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff",
"subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2020-02-26T18:39:57+0000",
"notAfter":"2021-02-26T19:39:57+0000",
"issuedAt":"2020-02-26T19:39:58+0000",
"revokedAt":"2020-02-26T20:00:36+0000",
"revocationReason":"UNSPECIFIED",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
},
{
"awsAccountId":"123456789012",
"requestedByServicePrincipal":"acm.amazonaws.com",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00",
"subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2020-01-22T20:10:49+0000",
"notAfter":"2021-01-17T21:10:49+0000",
"issuedAt":"2020-01-22T21:10:49+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
]
```
**참고**
가 인증서를 AWS Certificate Manager 갱신하면 프라이빗 CA 감사 보고서가 `requestedByServicePrincipal` 필드를 로 채웁니다`acm.amazonaws.com`. 이는 AWS Certificate Manager 서비스가 고객을 대신하여 AWS Private CA API의 `IssueCertificate` 작업을 호출하여 인증서를 갱신했음을 나타냅니다.
## 감사 보고서를 위한 Amazon S3 버킷 준비
**중요**
AWS Private CA 는 [Amazon S3 객체 잠금](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) 사용을 지원하지 않습니다. 버킷에서 객체 잠금을 활성화하면 AWS Private CA 가 버킷에 감사 보고서를 작성할 수 없습니다.
감사 보고서를 저장하려면 Amazon S3 버킷을 준비해야 합니다. 자세한 내용은 [S3 버킷을 어떻게 생성합니까?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html)를 참조하세요.
S3 버킷은가 지정한 S3 버킷에 AWS Private CA 액세스하고 쓸 수 있도록 허용하는 권한 정책에 의해 보호되어야 합니다. 권한 있는 사용자 및 서비스 보안 주체는가 버킷에 객체를 배치할 수 AWS Private CA 있는 `Put` 권한과 객체를 검색할 수 있는 `Get` 권한이 필요합니다. 아래 표시된 정책을 적용하여 프라이빗 CA의 AWS 계정과 ARN 모두에 대한 액세스를 제한하는 것이 좋습니다. 또는 [aws:SourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid) 조건 키를 사용하여의 특정 조직에 대한 액세스를 제한할 수 있습니다 AWS Organizations. 버킷 정책에 대한 자세한 내용은 [Amazon Simple Storage Service의 버킷 정책을](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) 참조하세요.
## 감사 보고서 생성
콘솔이나 AWS CLI에서 감사 보고서를 생성할 수 있습니다.
**감사 보고서를 생성하는 방법(콘솔)**
1. AWS 계정에 로그인하고 [https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home) AWS Private CA 콘솔을 엽니다.
1. **프라이빗 인증 기관** 페이지 목록에서 프라이빗 CA를 선택합니다.
1. **작업** 메뉴에서 **감사 보고서 생성**을 선택합니다.
1. **감사 보고서 대상** 아래의 **새 S3 버킷을 생성하시겠습니까?**에서 **예**를 선택하고 고유한 버킷 이름을 입력하거나, **아니요**를 선택하고 목록에서 기존 버킷을 선택합니다.
**예를** 선택하면가 기본 정책을 AWS Private CA 생성하여 버킷에 연결합니다. 기본 정책에는 특정 AWS 계정에 대한 액세스를 제한하는 `aws:SourceAccount` 조건 키가 포함되어 있습니다. 액세스를 추가로 제한하려면 [이전 예제](#s3-access)와 같이 정책에 다른 조건 키를 추가할 수 있습니다.
**아니요**를 선택한 경우 감사 보고서를 생성하기 전에 먼저 정책을 버킷에 연결해야 합니다. [감사 보고서를 위한 Amazon S3 버킷 준비](#s3-access)에 설명된 정책 패턴을 사용합니다. 정책 연결에 대한 자세한 내용은 [ Amazon S3 콘솔을 사용하여 버킷 정책 추가를 참조하세요](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html).
1. **출력 형식**에서 JavaScript 객체 표기법의 경우 **JSON**을 선택하고 쉼표로 구분된 값의 경우 **CSV**를 선택합니다.
1. **감사 보고서 생성**을 선택합니다.
**감사 보고서를 생성하는 방법(AWS CLI)**
1. 사용할 S3 버킷이 아직 없다면 [새로 생성합니다](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html).
1. 버킷에 정책 연결 [감사 보고서를 위한 Amazon S3 버킷 준비](#s3-access)에 설명된 정책 패턴을 사용합니다. 정책 연결에 대한 자세한 내용은 [Amazon S3 콘솔을 사용하여 버킷 추가](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)를 참조하세요.
1. [create-certificate-authority-audit-report](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority-audit-report.html) 명령을 사용하여 감사 보고서를 생성하고 준비된 S3 버킷에 배치합니다.
```
$ aws acm-pca create-certificate-authority-audit-report \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--s3-bucket-name amzn-s3-demo-bucket \
--audit-report-response-format JSON
```
## 감사 보고서 검색
검사를 위해 감사 보고서를 검색하려면 Amazon S3 콘솔, API, CLI 또는 SDK를 사용합니다. 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [객체 다운로드](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html)를 참조하세요.
## 감사 보고서 암호화
선택적으로 감사 보고서가 포함된 Amazon S3 버킷에서 암호화를 구성할 수 있습니다.는 S3의 자산에 대해 두 가지 암호화 모드를 AWS Private CA 지원합니다.
+ Amazon S3 관리형 AES-256 키를 사용한 자동 서버 측 암호화.
+ 사양에 맞게 AWS KMS key 구성된 AWS Key Management Service 및를 사용한 고객 관리형 암호화.
**참고**
AWS Private CA 는 S3에서 자동으로 생성된 기본 KMS 키 사용을 지원하지 않습니다.
다음 절차에서는 각 암호화 옵션을 설정하는 방법에 대해 설명합니다.
**자동 암호화를 구성하려면**
S3 서버 측 암호화를 활성화하려면 다음 단계를 수행하십시오.
1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.
1. **버킷** 테이블에서 AWS Private CA 자산을 보관할 버킷을 선택합니다.
1. 버킷의 페이지에서 **속성** 탭을 선택합니다.
1. **기본 암호화** 카드를 선택합니다.
1. **활성화**를 선택합니다.
1. **Amazon S3 키(SSE-S3)**를 선택합니다.
1. **변경 사항 저장(Save Changes)**을 선택합니다.
**사용자 지정 암호화를 구성하려면**
사용자 지정 키를 사용하여 암호화를 활성화하려면 다음 단계를 수행하십시오.
1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.
1. **버킷** 테이블에서 AWS Private CA 자산을 보관할 버킷을 선택합니다.
1. 버킷의 페이지에서 **속성** 탭을 선택합니다.
1. **기본 암호화** 카드를 선택합니다.
1. **활성화**를 선택합니다.
1. **AWS Key Management Service 키(SSE-KMS)**를 선택합니다.
1. ** AWS KMS 키에서 선택** 또는 ** AWS KMS key ARN 입력을** 선택합니다.
1. **변경 사항 저장(Save Changes)**을 선택합니다.
1. (옵션) KMS 키가 아직 없는 경우 다음 AWS CLI [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html) 명령을 사용하여 생성합니다.
```
$ aws kms create-key
```
이 명령의 출력 화면에는 KMS 키의 키 ID와 Amazon 리소스 이름(ARN)이 포함됩니다. 다음은 예제 출력입니다.
```
{
"KeyMetadata": {
"KeyId": "01234567-89ab-cdef-0123-456789abcdef",
"Description": "",
"Enabled": true,
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1478910250.94,
"Arn": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef",
"AWSAccountId": "123456789012"
}
}
```
1. 다음 단계를 사용하여 AWS Private CA 서비스 보안 주체에게 KMS 키를 사용할 수 있는 권한을 부여합니다. 모든 KMS 키는 기본적으로 비공개입니다. 따라서 리소스 소유자만 KMS 키를 사용해서 데이터를 암호화 및 해독할 수 있습니다. 그러나 리소스 소유자가 원한다면 다른 사용자 및 리소스에 KMS 키에 대한 액세스 권한을 부여할 수 있습니다. 서비스 보안 주체는 KMS 키가 저장된 위치와 동일한 리전에 있어야 합니다.
1. 먼저 다음 [get-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html) 명령을 사용하는 `policy.json`로 KMS 키에 대한 기본 정책을 저장합니다.
```
$ aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json
```
1. 텍스트 편집기에서 `policy.json` 파일을 엽니다. 다음 정책 설명 중 하나를 선택하여 기존 정책에 추가합니다.
Amazon S3 버킷 키가 *활성화된* 경우 다음 명령문을 사용합니다.
```
{
"Sid":"Allow ACM-PCA use of the key",
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource":"*",
"Condition":{
"StringLike":{
"kms:EncryptionContext:aws:s3:arn":"arn:aws:s3:::bucket-name"
}
}
}
```
Amazon S3 버킷 키가 *비활성화된* 경우 다음 명령문을 사용합니다.
```
{
"Sid":"Allow ACM-PCA use of the key",
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource":"*",
"Condition":{
"StringLike":{
"kms:EncryptionContext:aws:s3:arn":[
"arn:aws:s3:::bucket-name/acm-pca-permission-test-key",
"arn:aws:s3:::bucket-name/acm-pca-permission-test-key-private",
"arn:aws:s3:::bucket-name/audit-report/*",
"arn:aws:s3:::bucket-name/crl/*"
]
}
}
}
```
1. 마지막으로 아래 [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html) 명령을 사용하여 업데이트된 정책을 적용합니다.
```
$ aws kms put-key-policy --key-id key_id --policy-name default --policy file://policy.json
```