ACM Private CA le presta un servicio de alta disponibilidad de CA privada que no requiere inversión inicial ni costos de mantenimiento continuos relacionados con el funcionamiento de su propia CA privada. AWS Certificate Manager (ACM) Private Certificate Authority (CA) es un servicio de CA privadas que extiende las capacidades de administración de certificados de ACM a certificados públicos y privados.  ACM Private CA permite a los desarrolladores ser más ágiles al darles las API para crear e implementar certificados privados mediante programación. También tiene flexibilidad para crear certificados privados para aplicaciones que necesiten nombres de recursos o vigencias de certificados personalizados. Con ACM Private CA, puede crear y administrar certificados privados para sus recursos conectados en un solo lugar, con un servicio de entidad de certificación privada seguro y con modalidad de pago por uso.

Los administradores de CA pueden utilizar ACM Private CA para crear una jerarquía de CA completa que incluya CA subordinadas y de raíz online, sin necesidad de CA externas. ACM Private CA también permite una jerarquía híbrida con CA offline y online. Una jerarquía de CA brinda una seguridad potente y controles de acceso restringido para las CA de raíz de mayor confianza en la cadena de confianza, a la vez que permite un acceso más permisivo y la emisión de certificados en lotes para CA subordinadas situadas en posiciones más bajas de la cadena. Puede crear CA seguras y de alta disponibilidad sin desarrollar y mantener una infraestructura de CA en sus propias instalaciones. Puede compartir una CA entre las cuentas de AWS, o en su organización, para permitir una administración central de sus CA con la emisión de certificados a través de ACM o directamente desde la CA. Esto reduce la cantidad de CA que debe administrar y pagar, y le permite separar las tareas de administración de CA de la emisión de certificados.

 

Cumbre de AWS 2018 en San Francisco - AWS Certificate Manager Private Certificate Authority

Beneficios

Entidad de certificación privada segura y administrada

ACM Private CA le proporciona una forma más fácil y segura de crear una entidad de certificación privada, y usarla para generar y administrar sus certificados privados. ACM Private CA está protegido por los módulos de seguridad de hardware (HSM) administrados por AWS. Estos HSM cumplen con las normas de seguridad FIPS 140-2 Nivel 3 para almacenar de forma segura las claves de su entidad de certificación privada. Los administradores de las entidades de certificación privadas pueden controlar el acceso al servicio con las políticas de AWS Identity and Access Management (IAM). Puede compartir una CA utilizando AWS Resource Access Manager (RAM) para la emisión de certificados únicamente, dejando la administración de CA restringida a los administradores. ACM Private CA le proporciona visibilidad en relación con la actividad de los certificados privados y le permite crear informes. Puede auditar la actividad de la entidad de certificación privada mediante el servicio de registro y monitorización AWS CloudTrail. ACM Private CA también publica y actualiza listas de revocación de certificados (CRL) en Amazon S3 automáticamente para ayudar a evitar el uso de certificados revocados. Por ejemplo, una aplicación IoT puede verificar si el certificado privado de un sensor es válido antes de aceptar datos provenientes de este.

Administre autoridades de certificado de manera centralizada

ACM Private CA se pueden crear y administrar en una cuenta y luego compartir con otras cuentas de AWS que necesitan emitir certificados. A través de AWS Resource Access Manager, un servicio de AWS que le permite compartir recursos de AWS con cualquier cuenta de AWS o dentro de su organización de AWS, los clientes pueden definir cuotas de recursos que contengan CA para compartirlas con un conjunto de cuentas u organizaciones. El informe de auditoría de CA proporciona detalles de todos los certificados emitidos desde esa CA. Cada cuenta con la que se comparta CA puede usar AWS Certificate Manager para crear y emitir certificados o llamar directamente a CA para firmar las solicitudes de firma de certificados (CSR).

Jerarquías de CA completas

ACM Private CA permite a los administradores de CA crear una jerarquía de CA completa que incluya CA subordinadas y de raíz, sin necesidad de CA externas. Los clientes pueden crear CA seguras y de alta disponibilidad en cualquier región de AWS en la que ACM Private CA esté disponible, sin tener que desarrollar y mantener una infraestructura de CA en sus propias instalaciones. De forma opcional, se pueden diseñar jerarquías de CA en un modo híbrido que combina CA en instalaciones locales y online. Además de una administración sencilla, ACM Private CA proporciona un nivel de seguridad esencial para operar una CA de acuerdo con las reglas de conformidad internas de los clientes y las prácticas recomendadas de seguridad.

Permita que los desarrolladores trabajen con agilidad

ACM Private CA le ofrece agilidad para crear e implementar certificados con solo unas pocas llamadas a la API, comandos de CLI o mediante plantilla de AWS CloudFormation. ACM Private CA les permite a los administradores de CA delegar la emisión de certificados privados a los desarrolladores, y les permite solicitar certificados de CA privadas compartidas con sus cuentas de AWS. También puede automatizar la creación de certificados para casos de uso que requieran un gran volumen de certificados de corta duración. Por ejemplo, puede crear e implementar automáticamente certificados para identificar nuevas instancias y contenedores de EC2 en entornos de escalado automático, o para autenticar los mensajes de notificación de eventos que se envían desde las funciones de AWS Lambda.

Flexibilidad para personalizar certificados privados

ACM Private CA se puede usar como un servicio independiente, sin administración de certificados ACM, para crear e implementar certificados privados personalizados, como certificados con nombres de recursos o duraciones personalizadas. Esta flexibilidad es útil en casos de uso en los que se necesite identificar recursos por un nombre específico, por ejemplo, identificar un dispositivo por su número de serie o cuando los certificados no se pueden rotar fácilmente, como los certificados que se integran en los dispositivos de hardware durante el proceso de fabricación.

Esquema de precios de pago por uso

ACM Private CA es más rentable en comparación con las opciones tradicionales disponibles comercialmente. ACM Private CA le ofrece la posibilidad de pagar mensualmente por el servicio y los certificados que crea e implementa. Pague menos a medida que usa más certificados. Obtenga más información sobre los precios aquí.

Características

Entidad de certificación administrada por AWS

ACM Private CA es un servicio administrado que automatiza las arduas tareas administrativas, como el aprovisionamiento de hardware, los parches de software, la alta disponibilidad y las copias de seguridad. ACM Private CA ofrece los niveles de seguridad, configuración, administración y monitorización de una entidad de certificación privada de alta disponibilidad. ACM Private CA le permite elegir entre varios algoritmos y tamaños de clave de la entidad de certificación, incluidos RSA 2048 o 4096 y ECDSA P256 o P384. ACM también le facilita la exportación y la implementación de certificados privados en cualquier lugar mediante la automatización basada en API.

Administración integrada del ciclo de vida de los certificados

Con ACM Private CA, puede optar por delegar la administración de los certificados a ACM en caso de aquellos certificados utilizados con los servicios integrados con ACM, como Elastic Load Balancing y API Gateway. Puede crear e implementar fácilmente certificados privados con la consola de administración de AWS o las API de AWS. ACM puede automatizar la renovación y la implementación de dichos certificados. ACM Private CA también le proporciona las API para automatizar la creación y la renovación de certificados privados para los recursos locales, las instancias EC2 y los dispositivos compatibles con IoT. ACM Private CA le ofrece la flexibilidad de administrar certificados privados usted mismo sin recurrir a la administración de certificados de ACM.

Administración segura de jerarquía de CA y CA de raíz

Una jerarquía de ACM Private CA le brinda una seguridad potente y controles de acceso restringido para las CA de la parte superior la cadena de confianza, a la vez que permite un acceso más permisivo y la emisión de certificados en lotes para CA subordinadas situadas en posiciones más bajas de la cadena. Usted puede controlar quién crea una CA nueva o restringir el acceso a CA ya existentes mediante las políticas de AWS Identity and Access Management (IAM). Todas las CA de ACM Private situadas en una jerarquía protegen sus claves privadas de CA en una hardware validado por FIPS 140-2 de nivel 3.

Almacenamiento seguro de claves con respaldo en HSM para claves de CA

Las claves que utiliza una entidad de certificación para firmar certificados son muy delicadas. ACM Private CA protege las claves de las entidades de certificación con los módulos de seguridad de hardware administrados por AWS, también conocidos como HSM. Estos HSM cumplen con las normas de seguridad FIPS 140-2 Nivel 3 que ayudan a proteger su entidad de certificación privada ante problemas graves.

Integración de IAM

Puede controlar el acceso al servicio de entidad de certificación privada con las políticas de IAM de AWS. Por ejemplo, puede crear una política para conceder acceso pleno a los administradores de TI responsables de la administración de la entidad de certificación para que puedan crear y configurar entidades de certificación privadas y, a la vez, conceder acceso limitado a desarrolladores y usuarios que solo necesiten emitir y revocar certificados.

Generación de lista de revocación de certificados (CRL)

ACM Private CA publica y actualiza automáticamente las listas de revocación de certificados en su bucket de Amazon S3. Las aplicaciones, los servicios y los dispositivos utilizan las CRL para evaluar el estado de un certificado cada vez que se establece una conexión entre dos recursos. Por ejemplo, una aplicación IoT puede verificar si el certificado privado de un sensor es válido antes de aceptar datos provenientes de este.

Uso compartido de CA entre cuentas

El uso compartido de CA en su organización o entre cuentas de AWS evita el costo y la complejidad de crear y administrar CA duplicadas en todas sus cuentas de AWS. Puede crear usos compartidos de los recursos a través de AWS Resource Access Manager (RAM) que incluyen ACM Private CA y están asociados a un conjunto de cuentas o AWS Organizations. Esto permite que las cuentas incluidas emitan certificados privados desde la CA compartida. Cuando use AWS Certificate Manager para emitir certificados privados desde un CA compartido, el certificado se genera en forma local en la cuenta que lo solicita y ACM proporciona una administración y una renovación completa del ciclo de vida.

Personalización

ACM Private CA se puede utilizar como un servicio independiente para emitir certificados directamente sin utilizar ACM para la administración de certificados y claves privadas. Cuando se usa de esta manera, puede crear certificados con el nombre que desee, con cualquier algoritmo de clave compatible, tamaño de clave, algoritmo de firmas y cualquier período de validez, incluidos días, meses o años a partir de hoy o de un fecha final específica.

Auditoría y registro

ACM Private CA le permite a usted y a sus auditores ver la actividad de sus entidades de certificación privadas. Puede crear informes de auditoría que incluyan el estado de todos los certificados que emitió la entidad de certificación. ACM Private CA está integrado con AWS CloudTrail. CloudTrail registra las llamadas a la API desde la consola de ACM Private CA, desde la CLI o desde su código, y entrega los archivos de registro a su bucket de S3. Con la información que recopila CloudTrail, puede determinar la solicitud que se realizó, la dirección IP desde donde se recibió, cuándo se hizo, etc.

Automatización basada en API

Puede escribir un código para automatizar la administración de certificados en el lenguaje de programación que elija con las API de ACM Private CA y ACM. Los SDK de AWS simplifican la autenticación y se integran eficientemente con su entorno de desarrollo. También puede escribir secuencias de comandos o comandos únicos con herramientas de líneas de comandos para interactuar con el servicio.

ArcticWolfNetworksLogo

Arctic Wolf Networks (AWN) es un proveedor de SOC como servicio líder en la industria que ofrece monitoreo las 24 horas, servicio administrado de detección de amenazas y respuesta a ellas para aplicaciones e infraestructura en las instalaciones y en la nube. Usamos ACM Private Certificate Authority (CA) para emitir certificados que garanticen conexiones seguras de nuestros sensores para nuestra plataforma del Centro de operaciones de seguridad personalizada que se ejecuta en AWS. ACM Private CA nos brinda una CA segura y administrada que podemos integrar en nuestra infraestructura a través de las API de AWS conocidas.

Michael Hart, Director
Ingeniería de infraestructura

Casos de uso

Asistencia para cumplir requisitos de conformidad

Al facilitar la habilitación de SSL/TLS, AWS Certificate Manager puede ayudar a su organización a cumplir los requisitos normativos y de conformidad para el cifrado de datos en tránsito. Para obtener información específica sobre conformidad, consulte el sitio Conformidad en la nube de AWS.

Mejora del tiempo de actividad

AWS Certificate Manager lo ayuda a abordar los desafíos de mantener los certificados de SSL/TLS, incluida la renovación de estos, para que no tenga que preocuparse por su vencimiento.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Más información sobre cómo comenzar

Introducción a AWS Certificate Manager

Más información 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Regístrese para obtener una cuenta gratuita

Obtenga acceso instantáneo a la capa gratuita de AWS.

Regístrese 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Comience a crear en la consola

Comience a crear con AWS Certificate Manager en la consola de AWS.

Iniciar sesión