تقدم لك خدمة ACM Private CA خدمة مراجع مصدّقة (CA) خاصة عالية التوفر بدون الاستثمار المدفوع مسبقًا وتكاليف الصيانة المستمرة لتشغيل CA الخاصة بك. AWS Certificate Manager (ACM) Private Certificate Authority (CA) هي خدمة مراجع مصدّقة (CA) خاصة تعمل على توسيع نطاق إمكانات إدارة الشهادات التي تقدمها ACM لكي تشمل كلاً من الشهادات العامة والخاصة.  تسمح خدمة ACM Private CA للمطورين بأن يتمتعوا بمرونة أكبر عن طريق إمدادهم بواجهات برمجة تطبيقات لإنشاء الشهادات الخاصة ونشرها برمجيًا. وأنت تتمتع أيضًا بالمرونة لإنشاء شهادات خاصة للتطبيقات التي تتطلب مدد بقاء مخصصة للشهادات أو أسماء موارد مخصصة. مع ACM Private CA، يمكنك إنشاء شهادات خاصة لمواردك المتصلة في مكان واحد وإدارتها من خلال خدمة CA خاصة مُدارة وآمنة وتعمل بنظام الدفع حسب الاستخدام.

يمكن لمسؤولي المرجع المصدّق (CA) استخدام ACM Private CA لإنشاء تسلسل هرمي كامل للمراجع المصدّقة، ويشمل ذلك المراجع المصدّقة الأساسية والتابعة عبر الإنترنت، دون الحاجة إلى مراجع مصدّقة خارجية. تتيح أيضًا ACM Private CA تسلسلاً هرميًا هجينًا مع المراجع المصدّقة المتصلة بالإنترنت وغير المتصلة بالإنترنت. إن التسلسل الهرمي للمراجع المصدّقة يوفر للمرجع المصدّق الأساسي الأكثر موثوقية في أعلى سلسلة الثقة أمانًا قويًا وضوابط وصول ذات أعلى درجة من التقييد، مع السماح للمراجع المصدّقة التابعة الأقل في السلسلة بوصول أقل تقييدًا وإصدار مُجمّع للشهادات. يمكنك إنشاء مراجع مصدّقة آمنة وعالية التوافر بدون إنشاء بنية تحتية لمراجعك المصدّقة المحلية وصيانتها. يمكنك مشاركة مرجع مصدّق عبر حسابات AWS أو في منظمتك لتمكين الإدارة المركزية للمراجع المصدّقة باستخدام إصدار الشهادات من خلال ACM أو من خلال المرجع المصدّق مباشرةً. وهذا يقلل عدد المراجع المصدّقة التي تحتاج أنت إلى إدارتها والدفع مقابلها، ويتيح لك فصل مهام إدارة المراجع المصدّقة عن إصدار الشهادات.

 

AWS Summit في سان فرانسيسكو 2018 - AWS Certificate Manager Private Certificate Authority

المزايا

خدمة Private Certificate Authority آمنة ومُدارة

توفر ACM Private CA لك طريقة آمنة وأكثر سهولة لإنشاء مرجع مصدّق خاص واستخدامه لإنشاء شهاداتك الخاصة وإدارتها. تتسم ACM Private CA بأنها مؤمنة بوحدات أمان الأجهزة (HSM) المُدارة بواسطة AWS. تمتثل وحدات أمان الأجهزة (HSM) المُدارة هذه إلى معايير الأمان FIPS 140-2 من أجل تخزين مفاتيح المرجع المصدّق الخاص بشكل آمن. ويمكن لمسؤولي المرجع المصدّق الخاص التحكم في الوصول إلى الخدمة باستخدام سياسات AWS Identity and Access Management (IAM). ويمكنك مشاركة أحد المراجع المصدّقة باستخدام AWS Resource Access Manager (RAM) لإصدار الشهادات فقط، مع استمرار جعل إدارة المرجع المصدّق مقصورة على المسؤولين. وتقدم لك ACM Private CA رؤيةً بشأن نشاط الشهادة الخاصة، وتسمح لك بإنشاء تقارير. ويمكنك تدقيق نشاط المرجع المصدّق الخاص باستخدام تسجيل AWS CloudTrail وخدمة المراقبة. تعمل ACM Private CA أيضًا على نشر قوائم إبطال الشهادات (CRLs) وتحديثها في Amazon S3 تلقائيًا للمساعدة في منع استخدام الشهادات التي يتم إبطالها. على سبيل المثال، يمكن أن يتحقق أحد تطبيقات إنترنت الأشياء ما إذا كانت الشهادة الخاصة لمستشعر ما صالحة أم لا قبل قبول البيانات من المستشعر.

إدارة المراجع المصدّقة بشكل مركزي

يمكن إنشاء مراجع مصدّقة خاصة من ACM (ACM Private CA) وإدارتها في حساب واحد، ثم مشاركتها بعد ذلك مع حسابات AWS أخرى تحتاج إلى إصدار الشهادات. من خلال AWS Resource Access Manager، وهي خدمة من بين خدمات AWS تمكّنك من مشاركة موارد AWS مع أي حساب AWS أو داخل منظمة AWS التابعة لك، يمكن للعملاء تحديد مشاركات الموارد التي تحتوي على مراجع مصدّقة (CA) للمشاركة مع مجموعة من الحسابات أو المنظمات. يقدم تقرير تدقيق المرجع المصدّق تفاصيل بشأن جميع الشهادات الصادرة عن ذلك المرجع المصدّق. ويمكن لكل حساب تتم مشاركة أحد المراجع المصدّقة معه إما استخدام AWS Certificate Manager لإنشاء الشهادات واستخدامها، وإما الاتصال بالمرجع المصدّق مباشرةً للتوقيع على طلبات توقيع الشهادات (CSR).

إكمال التسلسلات الهرمية للمراجع المصدّقة

خدمة ACM Private CA تتيح لمسؤولي المراجع المصدّقة إنشاء تسلسل هرمي مرن للمراجع المصدّقة، بما في ذلك المراجع المصدّقة الرئيسية والتابعة، بدون الحاجة إلى مراجع مصدّقة خارجية. ويمكن للعملاء إنشاء مراجع مصدّقة آمنة وعالية التوافر في أي منطقة من مناطق AWS التي تتوفر فيها خدمة ACM Private CA، بدون إنشاء بنية تحتية لمراجعهم المصدّقة المحلية وصيانتها. وبدلاً من ذلك، يمكن إنشاء تسلسلات هرمية للمراجع المصدّقة في وضع هجين، بالجمع بين مراجع مصدّقة عبر الإنترنت ومراجع مصدّقة محلية. وبالإضافة إلى الإدارة البسيطة، توفر خدمة ACM Private CA أمانًا أساسيًا لتشغيل المراجع المصدّقة بالتماشي مع قواعد الامتثال الداخلية لدى العملاء وأفضل ممارسات الأمان.

تمكين مرونة المطور

توفر لك خدمة ACM Private CA المرونة في إنشاء الشهادات ونشرها من خلال بضع مكالمات لواجهة مبرمج التطبيقات (API)، أو أوامر CLI، أو من خلال قوالب AWS CloudFormation. وتسمح خدمة ACM Private CA لمسؤولي المراجع المصدّقة بتفويض المطورين بإصدار الشهادات الخاصة عن طريق السماح لهم بطلب الشهادات من مراجع مصدّقة خاصة تتم مشاركتها مع حسابات AWS الخاصة بهم. ويمكنك أيضًا أتمتة إنشاء الشهادات لحالات الاستخدام التي تتطلب مجموعة كبيرة من الشهادات قصيرة الأجل. على سبيل المثال، يمكنك إنشاء الشهادات ونشرها تلقائيًا لتحديد حاويات ومثيلات EC2 جديدة في بيئات القياس التلقائي أو لمصادقة رسائل الإشعار بالأحداث المرسلة من وظائف AWS Lambda.

المرونة في تخصيص الشهادات الخاصة

يمكن استخدام خدمة ACM Private CA كخدمة مستقلة، بدون إدارة الشهادات من جانب ACM، لإنشاء ونشر شهادات خاصة مخصصة، مثل الشهادات التي ذات مدد بقاء أو أسماء موارد مخصصة. وهذه المرونة مفيدة في حالات الاستخدام التي تحتاج إلى تحديد الموارد حسب اسم محدد، على سبيل المثال تحديد جهاز حسب رقمه التسلسلي، أو عندما لا يمكن تدوير الشهادات بسهولة، مثل الشهادات المضمَّنة في الأجهزة أثناء عملية التصنيع.

تسعير الدفع حسب الاستخدام

تتسم خدمة ACM Private CA بأنها أكثر فعالية من حيث التكلفة مقارنةً بالخيارات التقليدية المتوفرة تجاريًا. وتمنحك خدمة ACM Private CA القدرة على الدفع شهريًا مقابل الخدمة والشهادات التي تنشئها وتنشرها. فأنت تدفع تكاليف أقل مع استخدامك لشهادات أكثر. تعرّف على المزيد حول التسعير هنا.

الميزات

المرجع المصدّق المُدار بواسطة AWS

ACM Private CA هي خدمة مُدارة تعمل على أتمتة المهام الإدارية التي تستنزف الوقت، مثل توفير الأجهزة، وتصحيح البرامج، والتوافر بدرجة عالية، والنُسخ الاحتياطية. وتقدم خدمة ACM Private CA الأمان والتكوين والإدارة والمراقبة للمراجع المصدّقة الخاصة عالية التوافر. وتسمح لك خدمة ACM Private CA بالاختيار من بين العديد من لوغاريتمات مفاتيح المراجع المصدّقة وأحجام المفاتيح، بما في ذلك RSA 2048 أو RSA 4096 وECDSA P256 أو ECDSA P384. وتسهِّل ACM أيضًا عليك تصدير الشهادات الخاصة ونشرها من أي مكان باستخدام الأتمتة المستندة إلى واجهة برمجة التطبيقات.

إدارة متكاملة لدورة حياة الشهادات

مع خدمة ACM Private CA، يمكنك اختيار تفويض ACM لإدارة الشهادات وذلك فيما يخص الشهادات المستخدمة مع خدمات متكاملة مع ACM، مثل Elastic Load Balancing وAPI Gateway. ويمكنك إنشاء الشهادات الخاصة ونشرها بسهولة باستخدام وحدة إدارة تحكم AWS أو واجهات برمجة تطبيقات AWS. وبإمكان خدمة ACM أتمتة عمليات تجديد هذه الشهادات ونشرها. وتزودك خدمة ACM Private CA أيضًا بواجهات برمجة تطبيقات من أجل أتمتة عمليات إنشاء الشهادات الخاصة وتجديدها من أجل الموارد المحلية، ومثيلات EC2، وأجهزة إنترنت الأشياء. وتمنحك خدمة ACM Private CA المرونة في إدارة الشهادات الخاصة بنفسك بدون إدارة الشهادات من جانب ACM.

الإدارة الآمنة للمراجع المصدّقة الرئيسية والتسلسل الهرمي للمراجع المصدّقة

إن التسلسل الهرمي التي تقدمه خدمة ACM Private CA يوفر للمرجع المصدّق الرئيسي الأكثر موثوقية في أعلى سلسلة الثقة أمانًا قويًا وضوابط وصول ذات أعلى درجة من التقييد، مع السماح للمراجع المصدّقة التابعة الأقل في السلسلة بوصول أقل تقييدًا وإصدار مُجمّع للشهادات. ويمكنك التحكم في تحديد الأشخاص الذين بإمكانهم إنشاء مرجع مصدّق جديد أو تقييد الوصول إلى مراجع مصدّقة موجودة باستخدام سياسات AWS Identity and Access Management (IAM). وجميع المراجع المصدّقة الخاصة من ACM (ACM Private CA) الموجودة في تسلسل هرمي تحمي المفاتيح الخاصة للمراجع المصدّقة في أجهزة FIPS 140-2.

التخزين الآمن لمفاتيح المراجع المصدّقة المدعوم بوحدات أمان الأجهزة (HSM)

إن المفاتيح المستخدمة بواسطة أحد المراجع المصدّقة للتوقيع على الشهادات تتسم بأنها على درجة عالية من الحساسية. وتعمل خدمة ACM Private CA على تأمين مفاتيح المراجع المصدّقة باستخدام وحدات أمان الأجهزة المُدارة بواسطة AWS، التي تُعرف أيضًا باسم HSM. وتمتثل وحدات أمان الأجهزة (HSM) هذه لمعايير أمان FIPS 140-2 من أجل المساعدة في حماية المراجع المصدّقة الخاصة من عمليات اختراق المفاتيح. يمكن العثور على التفاصيل بشأن أجهزة FIPS 140-2 في وثائق المراجع المصدّقة الخاصة.

تكامل IAM

يمكنك التحكم في الوصول إلى خدمة Private CA باستخدام سياسات AWS IAM. على سبيل المثال، يمكنك إنشاء سياسة لمنح مسؤولي تكنولوجيا المعلومات (IT) المسؤولين عن إدارة المراجع المصدّقة إمكانية الوصول الكامل إلى المراجع المصدّقة الخاصة وإنشائها، مع منح المطورين والمستخدمين الذين يحتاجون إلى إصدار شهادات وإبطالها فقط إمكانية وصول محدود.

إبطال الشهادات باستخدام قوائم إبطال الشهادات (CRL) وبروتوكول حالة الشهادات عبر الإنترنت (OCSP)

عند إنشاء اتصال TLS مشفَّر، تعمل البنية التحتية الخاصة بالإبطال على إبلاغ نقطة النهاية بأن الشهادة لا ينبغي الوثوق بها. يمكن لعملاء خدمة Private CA اختيار بروتوكول حالة الشهادات عبر الإنترنت (OCSP) أو قوائم إبطال الشهادات (CRL) أو كليهما لتوزيع معلومات الإبطال المتعلقة بشهاداتهم الخاصة.

مشاركة المراجع المصدّقة عبر الحسابات

إن مشاركة المراجع المصدّقة عبر مؤسستك أو عبر حسابات AWS تؤدي إلى تجنب التكاليف والتعقيدات التي تنطوي عليها عمليات إنشاء مراجع مصدّقة مكررة وإدارتها في جميع حسابات AWS التي تخصك. ويمكنك إنشاء مشاركات الموارد عبر AWS Resource Access Manager (RAM) التي تشتمل على مراجع مُصدّقة خاصة من ACM (ACM Private CA) مرتبطة بمجموعة من الحسابات أو AWS Organizations. وهذا يتيح للحسابات المشمولة إصدار شهادات خاصة من المرجع المصدّق المشترك. وعند استخدام AWS Certificate Manager لإصدار شهادات خاصة من مرجع مصدّق مشترك، يتم إنشاء الشهادة محليًا في الحساب الطالب، وتوفر خدمة ACM إدارة دورة الحياة والتجديد بشكل كامل.

التخصيص

يمكن استخدام خدمة ACM Private CA كخدمة مستقلة لإصدار الشهادات مباشرة بدون استخدام ACM لإدارة الشهادات والمفاتيح الخاصة. وعند الاستخدام بهذه الطريقة، يمكنك إنشاء شهادات ذات أي اسم موضوع تريده، وذات أي من لوغاريتمات المفاتيح المدعومة، وأحجام المفاتيح، ولوغاريتمات التوقيع، وأي فترة صلاحية، بما في ذلك أيام أو شهور أو أعوام من الوقت الحالي، أو تاريخ انتهاء محدد.

التدقيق والتسجيل

تقدم خدمة ACM Private CA لك وللمدققين التابعين لك رؤيةً بشأن نشاط المراجع المصدّقة الخاصة التابعة لك. ويمكنك إنشاء تقارير تدقيق تتضمن حالة جميع الشهادات الصادرة عن المرجع المصدّق. وتتكامل خدمة ACM Private CA مع خدمة AWS CloudTrail. وتلتقط خدمة CloudTrail جميع مكالمات واجهة مبرمج التطبيقات (API) الآتية من وحدة تحكم ACM Private CA أو من ACM أو من CLI، وتُرسِل ملفات السجل إلى حاوية S3. وباستخدام المعلومات التي تجمعها خدمة CloudTrail، يمكنك تحديد الطلب الذي تم إنشاؤه، وعنوان IP الذي جاء منه الطلب، والوقت الذي تم فيه إنشاؤه، وما إلى ذلك.

الأتمتة المستندة إلى واجهة برمجة التطبيقات

يمكنك كتابة تعليمة برمجية لأتمتة إدارة الشهادات بلغة البرمجة المفضلة لك باستخدام خدمة ACM Private CA وواجهات برمجة تطبيقات ACM. وتعمل مجموعات تطوير البرمجيات لدى AWS على تبسيط عملية المصادقة، وتتكامل بفاعلية مع بيئة التطوير لديك. ويمكنك أيضًا كتابة برامج نصية أو أوامر لمرة واحدة باستخدام أدوات سطر الأوامر للتفاعل مع الخدمة.

المساعدة في تلبية متطلبات الامتثال

عن طريق تيسير تمكين SSL/TLS، يستطيع AWS Certificate Manager مساعدة مؤسستك على تحقيق المتطلبات التنظيمية والخاصة بالامتثال لتشفير البيانات أثناء النقل. للحصول على معلومات خاصة عن الامتثال، راجع موقع الامتثال الخاص بسحابة AWS.

تحسين وقت تشغيل

تساعد خدمة AWS Certificate Manager في إدارة تحديات الحفاظ على شهادات SSL/TLS، بما في ذلك تجديدات الشهادات لكي لا تضطر إلى القلق بشأن انتهاء صلاحية الشهادات.

ArcticWolfNetworksLogo
Blacksky
Arctic Wolf Networks (AWN) هي من الشركات الرائدة في المجال التي توفر مركز عمليات الأمان كخدمة (SOC-as-a-service)، وتقدم خدمات المراقبة على مدار 24 ساعة طوال أيام الأسبوع والخدمات المُدارة الخاصة باكتشاف التهديدات والاستجابة لها فيما يتعلق بالتطبيقات والبنى التحتية المحلية والسحابية. ونحن نستخدم خدمة ACM Private Certificate Authority (CA) لإصدار الشهادات من أجل ضمان إجراء اتصالات آمنة من مستشعراتنا إلى منصة مركز عمليات الأمان المصممة لغرض معين التي تعمل في AWS. وتوفر لنا خدمة ACM Private CA مرجعًا مصدّقًا آمنًا ومُدارًا نستطيع دمجه في بنيتنا التحتية باستخدام واجهة برمجة تطبيقات AWS المألوفة.

مايكل هارت، مدير هندسة البنية التحتية - شركة Arctic Wolf

حالات الاستخدام

أمان طبقة النقل (TLS) لخدمات AWS

مع خدمة AWS Certificate Manager، يمكنك أن تطلب شهادة بسرعة، وتنشرها في موارد AWS المتكاملة مع ACM، مثل Elastic Load Balancers وتوزيعات Amazon CloudFront وواجهات برمجة التطبيقات في API Gateway، وتترك خدمة AWS Certificate Manager لتتولى عمليات تجديد الشهادات. وتُستخدَم الشهادات الخاصة في تحديد الاتصال بين الموارد المتصلة على الشبكات الخاصة وتأمينها، مثل الخوادم، والأجهزة المحمولة وأجهزة إنترنت الأشياء، والتطبيقات.

وتدعم ACM طلب شهادات من AWS Private CA، وتدير دورة حياة شهاداتك الخاصة، وتثمر كلتا الحالتين عن ربطها بموارد AWS وتصديرها للاستخدام خارج AWS. لمعرفة المزيد، اطلع على دليل بدء استخدام AWS Certificate Manager.

أمان طبقة النقل (TLS ) لـ Kubernetes

تستخدم حاويات Kubernetes وتطبيقاته الشهادات الرقمية لتوفير المصادقة الآمنة والتشفير الآمنين عبر أمان طبقة النقل (TLS). cert-manager هو مكون إضافي إلى Kubernetes لتوفير إدارة شهادات أمان طبقة النقل (TLS). ويطلب cert-manager الشهادات، ويوزعها على حاويات Kubernetes، ويقوم بأتمتة تجديد الشهادات. ويتأكد cert-manager من أن الشهادات صالحة ومحدثة، ويحاول تجديد الشهادات في الوقت المناسب قبل انتهاء صلاحيتها.

وتدعم خدمة AWS Private CA مكونًا إضافيًا مفتوح المصدر لـ cert-manager يوفر بدوره حل مرجع مصدّق أكثر أمانًا لحاويات Kubernetes. ويمكن للعملاء الذين يستخدمون cert-manager لإدارة دورة حياة شهادة التطبيقات استخدام هذا الحل لتحسين الأمان في المرجع المصدّق الافتراضي لـ cert-manager، الذي يخزن المفاتيح في شكل نص عادي في ذاكرة الخادم. وبإمكان العملاء الذين لديهم متطلبات تنظيمية تخص التحكم في الوصول إلى عمليات مراجعهم المصدّقة وتدقيقها استخدام هذا الحل لتحسين التدقيق ودعم الامتثال. ويمكنك استخدام المكون الإضافي لأداة إصدار المراجع المصدّقة الخاصة من AWS مع Amazon Elastic Kubernetes Service، وKubernetes مُدار ذاتيًا على AWS، وKubernetes محلي. لمعرفة المزيد، اطلع على وثائق المراجع المصدّقة الخاصة للتعرف على التكوين مع Kubernetes. 

Standard Product Icons (Features) Squid Ink
تعرَّف على كيفية بدء الاستخدام

بدء استخدام AWS Certificate Manager

تعرّف على المزيد 
Sign up for a free account
تسجيل الاشتراك للحصول على حساب مجاني

الوصول على الفور إلى الطبقة المجانية لخدمة AWS.

التسجيل 
Standard Product Icons (Start Building) Squid Ink
ابدأ الإنشاء في وحدة التحكم

ابدأ في إنشاء ما تريد بالاستعانة بـ AWS Certificate Manager في وحدة تحكم AWS.

تسجيل الدخول