Publié le: Jan 4, 2022
AWS Certificate Manager (ACM) Private Certificate Authority (CA) annonce la sortie de la version 1.0 (v1.0) du plugin d'autorité de certification privée Kubernetes cert-manager, un plugin open source pour cert-manager qui offre une solution d'autorité de certification sécurisée pour les conteneurs Kubernetes. L'autorité de certification (CA) privée d'ACM est le service d'autorité de certification privée hautement disponible géré par AWS, et cert-manager est une solution largement utilisée pour la gestion des certificats TLS dans Kubernetes. Les clients qui utilisent cert-manager pour la gestion du cycle de vie des certificats peuvent utiliser ce plugin avec la CA privée d'ACM afin d'améliorer la sécurité par rapport à l'autorité de certification cert-manager par défaut stockant les clés en texte brut dans la mémoire du serveur. Remplaçant la v0.3.1 lancée en juillet 2021, la v1.0 du plugin est prête pour la production et inclut de nouvelles fonctions, des améliorations de maintenance ainsi que des corrections de bugs. Avec cette version, nous avons ajouté des tests d'intégration de bout en bout automatisés qui s'exécutent à chaque modification logicielle. Ce qui signifie que dorénavant toutes les modifications apportées au plugin sont automatiquement testées avant d'être activées. Cela permet d'améliorer la qualité et la préparation à la production. Le référentiel du plugin rend les versions disponibles automatiquement dans un référentiel ECR appartenant à AWS. Ainsi, les clients obtiennent toujours la dernière version du plugin.
Les conteneurs et les applications Kubernetes utilisent les certificats numériques afin de fournir une authentification et un chiffrement sécurisés des TLS. Ce plugin permet à cert-manager de demander des certificats TLS à partir de la CA privée d'ACM, une autorité de certification hautement disponible, vérifiable et gérée qui sécurise les clés d'autorité de certification à l'aide des modules de sécurité matérielle (HSM) validés par FIPS. Cert-manager associé au plugin de CA privée d'ACM fournissent une automatisation des certificats pour TLS dans plusieurs configurations, y compris à l'entrée, sur le pod ou en TLS mutuel entre les pods. Vous pouvez vous servir du plugin de CA privée d'ACM Kubernetes cert-manager avec Amazon Elastic Kubernetes Service, Kubernetes autogéré sur AWS et Kubernetes sur site.
Pour en savoir plus sur le plugin et consulter les instructions de configuration étape par étape, visitez le blog suivant : Clusters Kubernetes compatibles TLS avec le CA privée d'ACM et Amazon EKS. Vous pouvez obtenir le plugin à partir de GitHub.
La CA privée d'ACM fournit un service d'autorité de certification privée hautement disponible sans l'investissement initial et les coûts de maintenance inhérents à l'utilisation de votre propre autorité de certification privée. Les administrateurs d'autorités de certification peuvent utiliser l'autorité de certification privée pour créer une hiérarchie complète d'autorités de certification, y compris racines et subordonnées en ligne, sans recourir à des autorités de certification externes. Grâce à la CA privée d'ACM, vous disposez d'un service d'autorité de certification privée sécurisé et géré que vous payez à l'utilisation, vous permettant de créer de manière centralisée des certificats privés pour vos ressources.
Cert-manager est un module complémentaire de Kubernetes pour la gestion de certificat TLS. Cert-manager demande des certificats, les distribue aux conteneurs Kubernetes et automatise le processus de renouvellement de certificat. Il garantit la validité et la mise à jour des certificats et tente de renouveler les certificats juste avant leur expiration.
Afin d'obtenir la liste des régions dans lesquelles la CA privée d'ACM est disponible, consultez la section Points de terminaison et Régions AWS.
Pour démarrer l'utilisation de la CA privée d'ACM, consultez la page Mise en route.