本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 私有憑證授權單位 客戶 CP/CPS 架構
AWS 私有憑證授權單位 提供基礎設施服務,可讓您建立憑證授權機構 (CA) 階層,包括根 CA 和次級 CAs,而不需要操作內部部署 CA 的投資和維護成本。當您使用 AWS 私有 CA 建立 CA 階層時,您與 之間有共同的責任 AWS 私有 CA。共同的責任模型有助於減輕您的營運負擔,因為 會 AWS 操作、管理和控制服務營運所在設施的實體安全性。您承擔憑證授權機構的責任和管理 (包括建立和刪除 CA 資源;分發信任錨點;建立 PKI 階層;憑證政策和實務;允許或拒絕 CA 共用的組態 AWS 帳戶;範本使用的政策;稽核;存取控制,包括職責分離;以及其他 CA 組態和政策)。您應該仔細考慮您選擇的服務,因為您的責任會因所使用的服務、這些服務與 IT 環境的整合,以及適用的法律和法規而有所不同。如需詳細資訊,請參閱[AWS 雲端 安全共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model)。
為您的私有憑證授權機構建立憑證政策 (CP) 或憑證實務陳述式 (CPS),是管理公有金鑰基礎設施 (PKI) 的重要部分。CP 會定義 PKI 的所有要求/規則,而 CPS 會說明您如何符合 CP 要求。您有責任建立 CP 和 CPS 做為 PKI 的憑證授權單位。 AWS 私有 CA 為您提供 AWS 控制和合規文件,例如[AWS 系統和組織控制 (SOC) 2 報告](https://aws.amazon.com/compliance/soc-faqs/),您可以使用 協助建立 CP 和 CPS,並視需要執行控制評估和驗證程序。 AWS SOC 報告是獨立的第三方檢查報告,示範 如何 AWS 實現關鍵合規控制和目標。報告的目的是協助您和稽核人員了解為支援操作和合規而建立的 AWS 控制。
本文件提供符合 [RFC 3647](https://datatracker.ietf.org/doc/html/rfc3647) 的架構,協助您撰寫 CP 和 CPS,並識別您與 之間的共同責任 AWS 私有 CA。 AWS 私有 CA 具有合規責任的 CP/CPS 要求章節以「共享」或「AWS 私有憑證授權單位」識別,並提供對應的「補充資訊」,以協助您了解 如何 AWS 私有 CA 符合相關聯的 CP/CPS 要求。例如,要求 5 (4.5.1) 是 AWS 私有 CA 責任,您可以在 AWS SOC 2 報告的第 D.6 節中找到對應的控制語言,以協助完成您的 CP/CPS。如需 AWS SOC 報告以及如何請求存取 SOC 報告的詳細資訊,請造訪我們的 [SOC FAQs](https://aws.amazon.com/compliance/soc-faqs/)頁面。
## CP/CPS 需求與責任
| CP/CPS 要求 | 責任 | 補充資訊 |
| --- |--- |--- |
| 1. Introduction (All) | You | 您有責任記錄與 PKI 相關的概觀、文件名稱和識別、PKI 參與者、憑證使用、政策管理,以及定義和縮寫。 |
| 2. Publication and Repository Responsibilities (All) | You | 您有責任記錄與 PKI 相關的定義。 |
| 3. Identification and Authentication (All) | You | 您有責任在憑證發行之前,將驗證最終使用者憑證申請人身分和/或其他屬性的程序記錄給 CA 或註冊機構 (RA)。 |
| 4. Certificate Life-Cycle Operational Requirements (4.4.1 — 4.4.6, 4.4.9 — 4.4.11) | Shared | 您有責任指定發行 CA、主體 CAs、RAs、訂閱者或其他參與者在憑證生命週期方面所施加的要求。 AWS 私有 CA 為您提供兩種全受管機制,以協助支援撤銷狀態檢查:線上憑證狀態通訊協定 (OCSP) 和憑證撤銷清單 (CRLs),協助您符合 4.4.9 和 4.4.10。 |
| 4. Certificate Life-Cycle Operational Requirements (4.4.7, 4.4.8, 4.4.12) | N/A | AWS 私有 CA 不支援憑證重新金鑰、憑證修改或金鑰託管和復原。 |
| 5. Facility, Management, and Operational Controls (4.5.1) | AWS 私有 CA | 您可以繼承存取控制,協助您符合本節中 AWS 私有 CA SOC 2 類型 2 報告範圍內的要求 (請參閱 D.6 實體安全和環境保護一節)。 您要負責匯出或傳輸出 AWS 環境 CA 資料的實體安全和資料分類,但不能負責存放 CA 資料的實體安全 AWS。 |
| 5. Facility, Management, and Operational Controls (4.5.2) | Shared | 您有責任滿足本節中針對 PKI 環境操作定義信任角色的要求。 AWS 私有 CA 會維護密碼編譯模組實體存取的特定受信任角色。 |
| 5. Facility, Management, and Operational Controls (4.5.3) | Shared | 您有責任滿足本節中針對信任人員的背景檢查、訓練和紀律行動程序的要求。 您可以繼承與 AWS 私有 CA SOC 2 類型 2 報告範圍內 AWS 員工背景檢查、訓練和紀律行動程序相關的控制 (請參閱 A. 政策、A.1 控制環境、B. 通訊和 D.1 安全組織和 D.2 員工使用者存取權)。 |
| 5. Facility, Management, and Operational Controls (4.5.4) | Shared | 您有責任啟用、設定保留,以及保護 CloudTrail 和稽核報告日誌和 CloudWatch 提醒。此外,您需負責建立日誌處理程序,並對使用滿足本節要求的 AWS 私有 CA 服務執行漏洞評估。 您可以繼承與日誌可用性相關的控制項, 實體存取/站台安全性、 CA/RA 組態管理、 AWS 基礎設施日誌的安全性、 和 SOC AWS 私有 CA 2 類型 2 報告範圍內 AWS 基礎設施的漏洞評估 (請參閱 A.1 控制環境、 第 C.1 節 服務承諾、 D.2 員工使用者存取、 D.3 邏輯安全、 D.6 實體安全與環境保護、 D.7 變更管理、 D.8 資料完整性、 可用性、 和 備援、 和 E.1 監控活動)。 |
| 5. Facility, Management, and Operational Controls (4.5.5) | Shared | 您有責任設定符合本節要求的備份和保留期間。 您可以繼承與 AWS 私有 CA SOC 2 類型 2 報告範圍內日誌可用性 (設定時) 相關的控制項 (請參閱 D.8 資料完整性、可用性和備援)。 |
| 5. Facility, Management, and Operational Controls (4.5.6) | N/A | AWS 私有 CA 不支援金鑰轉換。 |
| 5. Facility, Management, and Operational Controls (4.5.7) | Shared | 您有責任實作 使用 的特定事件和入侵處理程序 AWS 私有 CA ,以滿足本節的要求。 您會繼承事件、入侵處理程序、業務持續性,以及實體網站外殼和基礎設施操作特有的災難復原程序,協助您符合本節中 AWS 私有 CA SOC 2 類型 2 隱私權報告範圍內的要求 (請參閱 D.8 資料完整性、可用性和備援以及 D.10 隱私權)。 |
| 5. Facility, Management, and Operational Controls (4.5.8) | You | 您必須記錄與 CA 或 RA 終止和終止程序相關的要求,包括 CA 和 RA 封存記錄的託管人身分。 |
| 6. Technical Controls (4.6.1) | Shared | 您有責任記錄 PKI 的金鑰產生和安裝需求。 AWS 私有 CA 為您提供 FIPS 140-3 第 3 級的密碼編譯模組,這些模組已通過 CA 金鑰產生認證。 |
| 6. Technical Controls (4.6.2) | Shared | 您有責任記錄私有金鑰保護和密碼編譯模組工程控制,例如密碼編譯標準要求和多人控制。 AWS 私有 CA 為您提供 FIPS 140-3 第 3 級的加密模組,這些模組已通過 CA 金鑰產生和 HSMs 的兩方實體存取控制認證。 |
| 6. Technical Controls (4.6.3) | You | 您有責任記錄金鑰對管理的其他層面,例如公有金鑰的存檔和憑證的操作期間。 |
| 6. Technical Controls (4.6.4) | N/A | AWS AWS 私有 CA HSMs一律在線上,沒有「啟用資料」的概念。 您有責任對 Private CA 實作使用者存取控制,以適當限制建立 CA 和發行憑證的能力。 |
| 6. Technical Controls (4.6.5) | Shared | 您負責記錄電腦安全控制,以使用 Private CA。 您可以繼承與 AWS 員工邏輯存取相關的控制、 AWS 基礎設施的網路和電腦安全控制,以及 AWS 私有 CA SOC 2 類型 2 報告範圍內 AWS 員工帳戶的密碼參數控制 (請參閱 D.2 員工使用者存取、D.3 邏輯安全,以及 D.6 實體安全與環境保護)。 |
| 6. Technical Controls (4.6.6) | Shared | 您有責任記錄與使用 Private CA 相關的安全管理控制。 您可以繼承與 AWS 私有 CA SOC 2 類型 2 報告範圍內之 AWS 私有 CA 服務系統開發控制相關的控制 (請參閱 D.7 變更管理一節)。 |
| 6. Technical Controls (4.6.7) | Shared | 如果適用於您的 PKI 環境,您有責任記錄使用 Private CA 的網路安全控制。 您繼承與 AWS 私有 CA SOC 2 類型 2 報告範圍內 AWS 基礎設施網路安全控制相關的控制 (請參閱 C.1 服務承諾、D.3 邏輯安全和 E.1 監控活動)。 |
| 6. Technical Controls (4.6.8) | AWS 私有 CA | AWS 私有 CA 使用信任的資料來源來時間戳記 CA 資料。 |
| 7. Certificate, CRL, and OCSP Profiles (All) | Shared | 您有責任記錄符合 PKI 環境需求的設定檔要求和憑證輸入。 AWS 私有 CA 為您提供設定檔範本,以協助滿足您的設定檔需求。 |
| 8. Compliance Audit and Other Assessment (All) | Shared | 您有責任記錄合規稽核和其他評估。 AWS 私有 CA 為您提供 SOC 2 報告,協助您和稽核人員了解為支援操作和合規而建立的 AWS 控制。 |
| 9. Other Business and Legal Matters | You | 您有責任記錄涵蓋您 Private CA 的一般業務和法律事項。 |