L'autorité de certification (CA) privée d'AWS Certificate Manager (ACM) est un service privé d’autorité de certification qui étend les fonctionnalités de gestion des certificats d’ACM aux certificats publics et privés. L'autorité CA privée d'ACM vous fournit un service de CA privée hautement disponible sans l’investissement initial et les coûts de maintenance permanents liés à l’exploitation de votre propre CA privée. L'autorité CA privée d'ACM permet aux développeurs d'être plus agiles en leur fournissant des API pour créer et déployer des certificats privés par programmation. Vous avez également la flexibilité de créer des certificats privés pour des applications qui nécessitent des certificats dont la durée de vie ou le nom de ressource est personnalisé. Avec l'autorité CA privée d'ACM, vous disposez d'un service de CA privée sécurisé et géré que vous payez à l'utilisation, vous permettant de créer et gérer de manière centralisée des certificats pour vos ressources connectées.

Les administrateurs d'autorités de certification peuvent utiliser l'autorité de certification privée ACM pour créer une hiérarchie complète d'autorités de certification, y compris les autorités de certification racine et subordonnées en ligne, sans recourir à des autorités de certification externes. L'autorité CA privée d'ACM permet également d'utiliser une hiérarchie hybride avec des autorités CA en ligne et hors ligne. Une hiérarchie d'autorités de certification (CA) renforce la sécurité et fournit des contrôles d'accès restrictifs pour la CA racine la plus fiable au sommet de la chaîne de confiance, tout en permettant un accès plus permissif et l'émission de certificats en masse pour les autorités de certification subordonnées situées plus bas dans la chaîne. Vous pouvez créer des autorités de certification sécurisées et à haute disponibilité sans créer ni gérer votre propre infrastructure de CA sur site.

 

AWS Summit de San Francisco 2018 - Autorité de certification privée d'AWS Certificate Manager

Avantages

Autorité de certificat privée sécurisée et gérée

La CA privée d'ACM constitue pour vous un moyen plus simple et plus sûr de créer une CA privée et de l'utiliser pour créer et gérer vos certificats privés. La CA privée d'ACM est sécurisée par des modules de sécurité matériels gérés (HSM) par AWS. Ces HSM respectent les normes de sécurité FIPS 140-2 niveau 3 pour le stockage des clés de votre CA privée. Les administrateurs de la CA privée peuvent contrôler l'accès au service à l'aide de politiques AWS Identity and Access Management (IAM). La CA privée d'ACM vous permet d'examiner l'activité des certificats privés et vous permet de créer des rapports. Vous pouvez contrôler l'activité de la CA privée grâce au service de journalisation et de surveillance AWS CloudTrail. La CA privée d'ACM publie et met également à jour, et ce de manière automatique, des listes de révocation de certificats (CRL) vers Amazon S3 pour vous aider à éviter l'utilisation de certificats révoqués. Par exemple, une application IoT peut vérifier si le certificat privé d'un capteur est valide avant d'accepter les données de ce même capteur.

Gestion centralisée des certificats

La CA privée d'ACM vous permet de gérer le cycle de vie de vos certificats publics et privés. Grâce à la CA privée d'ACM, vous pouvez choisir de déléguer la gestion des certificats à ACM pour les certificats utilisés avec des services intégrant ACM, comme Elastic Load Balancing et API Gateway. Vous pouvez facilement créer et déployer des certificats privés grâce à AWS Management Console ou aux API AWS. ACM peut automatiser le renouvellement et le déploiement de ces certificats. La CA privée d'ACM vous apporte également des API pour l'automatisation de la création et du renouvellement des certificats privés pour les ressources sur site, les instances EC2 et les appareils IoT. La CA privée d'ACM vous donne la possibilité de gérer des certificats privés par vous-même sans la gestion de certificats d'ACM.

HIÉRARCHIES CA COMPLÈTES

L'autorité CA privée d'ACM permet aux administrateurs CA de créer une hiérarchie flexible, comprenant des autorités de certification racine et subordonnées, sans recourir à des autorités de certification externes. Les clients peuvent créer des autorités de certification sécurisées et hautement disponibles dans toutes les régions AWS dans lesquelles l'autorité de certification privée ACM est disponible, sans créer ni gérer leur propre infrastructure d'autorité de certification sur site. Vous pouvez également créer des hiérarchies d'autorités de certification mode hybride, en combinant des autorités de certification en ligne et sur site. Outre la gestion simple, l'autorité CA privée d'ACM fournit une sécurité essentielle pour l’utilisation d'une CA en respectant les règles de conformité internes des clients et les meilleures pratiques de sécurité.

Apportez de l'agilité aux développeurs

La CA privée d'ACM vous apporte l'agilité permettant de créer et déployer des certificats en quelques appels d'API seulement. La CA privée d'ACM vous permet de déléguer la gestion de certificats privés aux développeurs en les autorisant à effectuer des demandes de certificats à partir de CA privées associées à leurs comptes AWS. Vous pouvez également automatiser la création de certificats pour des cas d'utilisation impliquant un volume important de certificats à courte durée de vie. Par exemple, vous pouvez créer et déployer automatiquement des certificats pour identifier de nouvelles instances EC2 et des conteneurs dans des environnements d'Auto Scaling ou pour authentifier des messages de notification d'événement envoyés à partir de fonctions AWS Lambda.

Flexibilité pour la personnalisation de certificats privés

La CA privée d'ACM peut s'utiliser comme service autonome, sans gestion de certificats d'ACM, pour créer et déployer des certificats privés personnalisés, tels que des certificats dotés de durées de vie ou de noms personnalisés. Cette flexibilité est utile dans des cas d'utilisation nécessitant l'identification de ressources par un nom spécifique, par exemple pour l'identification d'un appareil par son numéro de série, ou lorsque des certificats ne peuvent pas être renouvelés simplement (certificats intégrés à des appareils matériels lors du processus de fabrication, par exemple).

Tarification à l'utilisation

La CA privée d'ACM est plus rentable que les options traditionnelles disponibles dans le commerce. La CA privée d'ACM vous offre la possibilité de payer mensuellement le service et les certificats que vous créez et déployez. Plus vous utilisez de certificats, moins vous payez. Pour en savoir plus sur la tarification , cliquez ici.

Fonctionnalités

Autorité de certification gérée par AWS

La CA privée d'ACM est un service géré qui automatise les tâches administratives fastidieuses telles que la mise en service de matériel, l'application de correctifs logiciels, la haute disponibilité et les sauvegardes. La CA privée d'ACM apporte la sécurité, la configuration la gestion et la surveillance d'une CA privée hautement disponible. L'autorité CA privée d'ACM vous permet de choisir parmi plusieurs algorithmes de clés de CA et tailles de clés, notamment RSA 2048 ou 4096 et ECDSA P256 ou P384. ACM 

Gestion du cycle de vie des certificats

La CA privée d'ACM s'intègre à ACM pour vous permettre de gérer des certificats publics et privés à partir d'une seule interface de console. Lorsque vous utilisez ACM pour demander des certificats de votre CA privée, ACM génère et gère les clés privées, renouvelle les certificats automatiquement et déploie des certificats vers des ressources sur services intégrés à ACM, notamment des équilibreurs de charge Elastic Load Balancing et des points de terminaison API Gateway. ACM vous simplifie également l'exportation et le déploiement de certificats privés n'importe où grâce à l'automatisation sur les API.

CA RACINE SÛRE ET GESTION D'UNE HIÉRARCHIE

Une hiérarchie de CA privées ACM renforce la sécurité et fournit des contrôles d'accès restrictifs pour l'autorité de certification racine la plus fiable au sommet de la chaîne de confiance, tout en permettant un accès plus permissif et une émission de certificats en bloc pour les autorités de certification subordonnées situées plus bas dans la chaîne. Vous pouvez déterminer qui peut créer une CA ou restreindre l'accès aux CA existantes à l'aide des stratégies AWS Identity and Access Management (IAM). Toutes les autorités CA privées ACM dans une hiérarchie protègent les clés privées CA dans le matériel FIPS 140-2 de niveau 3

Stockage sécurisé des clés basées sur HSM pour les clés de CA

Les clés utilisées par une autorité de certification pour signer des certificats sont extrêmement importantes. La CA privée d'ACM sécurise les clés de CA avec des modules de sécurité matériels gérés par AWS, aussi connus sous le nom d'HSM. Ces HSM respectent les normes de sécurité FIPS 140-2 niveau 3 pour vous aider à protéger votre CA privée contre les altérations de clés.

Intégration d'IAM

Vous pouvez contrôler l'accès au service de CA privée grâce aux politiques AWS IAM. Par exemple, vous pouvez créer une politique pour donner aux administrateurs informatiques responsables de la gestion de la CA un accès complet pour créer et configurer des CA privées tout en octroyant un accès limité aux développeurs et aux utilisateurs n'ayant besoin que d'émettre et révoquer des certificats.

Génération de listes de révocation de certifications (CRL)

La CA privée d'ACM publie et met à jour automatiquement des listes de révocation de certificats sur votre compartiment Amazon S3. Les applications, services et appareils utilisent les CRL pour évaluer le statut d'un certificat chaque fois qu'une connexion se fait entre deux ressources. Par exemple, une application IoT peut vérifier si le certificat privé d'un capteur est valide avant d'accepter les données de ce même capteur.

Automatisation basée sur des API

Pour automatiser la gestion de certificats, vous pouvez rédiger du code dans le langage de programmation de votre choix à l'aide de la CA privée d'ACM et des API d'ACM. Les Kits SDK AWS simplifient l'authentification et s'intègrent efficacement à votre environnement de développement. Vous pouvez également rédiger des scripts ou des commandes ponctuelles avec des outils de ligne de commande pour interagir avec le service.

Personnalisation

La CA privée d'ACM peut être utilisée en tant que service autonome pour émettre des certificats directement, sans avoir à utiliser ACM pour la gestion des clés privées et des certificats. De cette manière, vous pouvez créer des certificats avec le nom d'objet de votre choix, tous les algorithmes de clés, toutes les tailles de clés et tous les algorithmes de signature pris en charge, et avec toutes les périodes de validité disponibles (jours, mois, années) à partir de la date en cours ou d'une date de fin spécifiée.

Audit et journalisation

La CA privée d'ACM vous donne, ainsi qu'aux auditeurs, de la visibilité sur l'activité de CA privées. Vous pouvez créer des rapports d'audit comprenant le statut de tous les certificats émis depuis la CA. La CA privée d'ACM s'intègre à AWS CloudTrail. CloudTrail capture des appels d'API provenant de la console de la CA privée d'ACM, de l'interface de ligne de commande ou de votre code, puis le service apporte les fichiers journaux à votre compartiment S3. En utilisant les informations collectées par CloudTrail, vous pouvez déterminer la demande effectuée, l'adresse IP à l'origine de la demande, le moment où elle a été effectuée, etc.

ArcticWolfNetworksLogo

Arctic Wolf Networks (AWN) est un fournisseur de services SOC leader sur le marché qui offre une surveillance 24 h/24 et 7 j/7 ainsi qu'une détection et une réponse aux menaces gérées pour les applications et infrastructures sur site et en nuage. Nous utilisons L’autorité de certification privée (CA) d’AWS Certificate Manager pour émettre des certificats afin d'assurer des connexions sécurisées entre nos capteurs et notre plateforme du Centre des opérations de sécurité spécialement créée qui s’exécute sur AWS. La CA privée d’ACM nous fournit une CA sécurisée et gérée que nous pouvons intégrer dans notre infrastructure à l'aide d’API AWS familières.

Michael Hart, Directeur
Ingénierie des infrastructures

Cas d'utilisation

Respect des exigences en matière de conformité

En facilitant l'activation des protocoles SSL/TLS, AWS Certificate Manager peut aider votre organisation à satisfaire les exigences en matière de réglementation et de conformité relatives au chiffrement des données en transit. Pour obtenir des informations spécifiques concernant la conformité, consultez le site de conformité du cloud AWS.

Temps de fonctionnement amélioré

AWS Certificate Manager vous aide à relever les défis liés au maintien des certificats SSL/TLS, notamment les renouvellements de certificats, pour que vous n'ayez pas à vous préoccuper des interruptions de service résultant de l'expiration de certificats.

Tarification de l'autorité de certification privée (PCA) d'AWS Certificate Manager

Visiter la page de tarification
Prêt à concevoir ?
Démarrez avec AWS Certificate Manager
D'autres questions ?
Contactez-nous