Use o AMS SSP para provisionar Autoridade de Certificação Privada da AWS em sua conta AMS - Guia do usuário avançado do AMS
CA privada da AWS perguntas frequentes sobre o AWS Managed Services

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Use o AMS SSP para provisionar Autoridade de Certificação Privada da AWS em sua conta AMS

Use o modo AMS Self-Service Provisioning (SSP) para acessar os Autoridade de Certificação Privada da AWS recursos diretamente em sua conta gerenciada pelo AMS. Os certificados privados são usados para identificar e proteger a comunicação entre recursos conectados em redes privadas, como servidores, dispositivos móveis e aplicativos de IoT. CA privada da AWS é um serviço gerenciado de CA privada que ajuda você a gerenciar com facilidade e segurança o ciclo de vida de seus certificados privados. CA privada da AWS fornece um serviço de CA privada de alta disponibilidade sem o investimento inicial e os custos de manutenção contínuos de operar sua própria CA privada. CA privada da AWS estende os recursos de gerenciamento de certificados do ACM para certificados privados, permitindo que você crie e gerencie certificados públicos e privados de forma centralizada. Você pode criar e implantar facilmente certificados privados para seus AWS recursos usando o AWS Management Console ou a API do ACM. Para EC2 instâncias, contêineres, dispositivos de IoT e recursos locais, você pode criar e rastrear facilmente certificados privados e usar seu próprio código de automação do lado do cliente para implantá-los. Você também tem a flexibilidade de criar certificados privados e gerenciá-los você mesmo para aplicativos que exigem tempos de vida de certificados personalizados, algoritmos-chave ou nomes de recursos. Para saber mais, consulte CA privada da AWS.

CA privada da AWS perguntas frequentes sobre o AWS Managed Services

Perguntas e respostas comuns:

P: Como faço para solicitar acesso à CA privada da AWS minha conta do AMS?

Solicite acesso por meio do envio do RFC de AWS Serviços (Gerenciamento | AWS serviço | Serviço compatível). Por meio dessa RFC, a seguinte função do IAM será provisionada em sua conta:. customer_acm_pca_role Depois de provisionado em sua conta, você deve integrar a função em sua solução de federação.

P: Quais são as restrições ao uso do CA privada da AWS?

Atualmente, AWS Resource Access Manager (AWS RAM) não pode ser usado para compartilhar sua CA privada da AWS conta cruzada.

P: Quais são os pré-requisitos ou dependências do uso? CA privada da AWS

1. Se você planeja criar uma CRL, precisará de um bucket do S3 para armazená-la. CA privada da AWS deposita automaticamente a CRL no bucket do Amazon S3 que você designar e a atualiza periodicamente. É um pré-requisito que o bucket do S3 tenha a política de bucket abaixo antes que você possa configurar uma CRL. Para continuar com essa solicitação, crie um RFC com ct-0fpjlxa808sh2 (Gerenciamento | Componentes avançados de pilha | Armazenamento S3 | Política de atualização) da seguinte forma:

  • Forneça o nome ou ARN do bucket do S3.

  • Copie a política abaixo no RFC e bucket-name substitua pelo nome do bucket S3 desejado.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name/*",
            "arn:aws:s3:::bucket-name"
         ]
      }
   ]
}

2. Se o bucket do S3 acima estiver criptografado, o responsável pelo serviço acm-pca.amazonaws.com precisará de permissões para descriptografar. Para continuar com essa solicitação, crie um RFC com ct-3ovo7px2vsa6n (Gerenciamento | Componentes avançados da pilha | Chave KMS | Atualização) da seguinte forma:

  • Forneça o ARN da chave KMS no qual a política deve ser atualizada.

  • Copie a política abaixo no RFC e bucket-name substitua pelo nome do bucket S3 desejado.

{
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":[
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key",
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private",
            "arn:aws:s3:::bucket_name/audit-report/*",
            "arn:aws:s3:::bucket_name/crl/*"
         ]
      }
   }
}

3. CA privada da AWS CRLs não suportam a configuração do S3 “Bloquear acesso público a buckets e objetos concedidos por meio de novas listas de controle de acesso (ACLs)”. Você deve desabilitar essa configuração com a conta e o bucket do S3 para permitir a CA privada da AWS gravação, CRLs conforme mencionado em Como criar e armazenar com segurança sua CRL para a CA privada do ACM. Se quiser desativá-la, crie uma nova RFC com ct-0xdawir96cy7k (Gerenciamento | Outros | Outros | Atualização) e anexe uma Aceitação de Risco. Se você tiver alguma dúvida sobre aceitação de riscos, entre em contato com seu arquiteto de nuvem.