L'autorité CA privée d'ACM vous fournit un service de CA privée hautement disponible sans l’investissement initial et les coûts de maintenance permanents liés à l’exploitation de votre propre CA privée. L'autorité de certification (CA) privée d'AWS Certificate Manager (ACM) est un service d’autorité de certification privée qui étend les fonctionnalités de gestion des certificats d’ACM aux certificats publics et privés.  L'autorité CA privée d'ACM permet aux développeurs d'être plus agiles en leur fournissant des API pour créer et déployer des certificats privés par programmation. Vous avez également la flexibilité de créer des certificats privés pour des applications qui nécessitent des certificats dont la durée de vie ou le nom de ressource est personnalisé. Avec l'autorité CA privée d'ACM, vous disposez d'un service de CA privée sécurisé et géré que vous payez à l'utilisation, vous permettant de créer et gérer de manière centralisée des certificats pour vos ressources connectées.

Les administrateurs d'autorités de certification peuvent utiliser l'autorité de certification privée ACM pour créer une hiérarchie complète d'autorités de certification, y compris les autorités de certification racine et subordonnées en ligne, sans recourir à des autorités de certification externes. L'autorité CA privée d'ACM permet également d'utiliser une hiérarchie hybride avec des autorités CA en ligne et hors ligne. Une hiérarchie d'autorités de certification (CA) renforce la sécurité et fournit des contrôles d'accès restrictifs pour la CA racine la plus fiable au sommet de la chaîne de confiance, tout en permettant un accès plus permissif et l'émission de certificats en masse pour les autorités de certification subordonnées situées plus bas dans la chaîne. Vous pouvez créer des autorités de certification sécurisées et à haute disponibilité sans créer ni gérer votre propre infrastructure de CA sur site. Vous pouvez créer une CA dans des comptes AWS ou au sein de votre organisation afin de gérer de manière centralisée vos CA avec l’émission de certificats via ACM ou directement depuis la CA. Cela permet non seulement de réduire le nombre de CA que vous devez gérer et payer, mais aussi de séparer les tâches d’administration de CA de l’émission de certificats.

 

Summit AWS de San Francisco 2018 – Autorité de certification privée d'AWS Certificate Manager

Avantages

Autorité de certificat privée sécurisée et gérée

La CA privée d'ACM constitue pour vous un moyen plus simple et plus sûr de créer une CA privée et de l'utiliser pour créer et gérer vos certificats privés. La CA privée d'ACM est sécurisée par des modules de sécurité matériels gérés (HSM) par AWS. Ces HSM respectent les normes de sécurité FIPS 140-2 niveau 3 pour le stockage des clés de votre CA privée. Les administrateurs de la CA privée peuvent contrôler l'accès au service à l'aide de stratégies AWS Identity and Access Management (IAM). Vous pouvez partager une CA à l’aide d’AWS Resource Access Manager (RAM) pour l’émission de certificats uniquement, interdisant l’administration de la CA aux administrateurs. La CA privée d'ACM vous donne la visibilité sur l'activité des certificats privés et vous permet de créer des rapports. Vous pouvez contrôler l'activité de la CA privée grâce au service de journalisation et de surveillance AWS CloudTrail. La CA privée d'ACM publie et met également à jour, et ce de manière automatique, des listes de révocation de certificats (CRL) vers Amazon S3 pour vous aider à éviter l'utilisation de certificats révoqués. Par exemple, une application IoT peut vérifier si le certificat privé d'un capteur est valide avant d'accepter les données de ce même capteur.

Gestion centralisée des autorités de certification

Vous pouvez créer et gérer les CA privées d’ACM dans un compte, puis les partager avec d’autres comptes AWS qui doivent émettre des certificats. Grâce à AWS Resource Access Manager, un service AWS qui vous permet de partager des ressources AWS avec n’importe quel compte AWS ou au sein de votre AWS Organization, les clients peuvent définir des partages de ressources comportant des CA à partager avec un ensemble de comptes ou d’organisations. Le rapport d’audit de CA détaille tous les certificats émis depuis cette CA. Chaque compte avec lequel une CA est partagée peut utiliser AWS Certificate Manager pour créer et émettre des certificats ou appeler directement la CA pour signer des demandes de signature de certificats (CSR).

Hiérarchies CA complètes

La CA privée d'ACM permet aux administrateurs CA de créer une hiérarchie CA flexible, comprenant des autorités de certification racine et subordonnées, sans recourir à des autorités de certification externes. Les clients peuvent créer des autorités de certification sécurisées et hautement disponibles dans toutes les régions AWS dans lesquelles l'autorité de certification privée ACM est disponible, sans créer ni gérer leur propre infrastructure d'autorité de certification sur site. Vous pouvez également créer des hiérarchies d'autorités de certification mode hybride, en combinant des autorités de certification en ligne et sur site. Outre la gestion simple, l'autorité CA privée d'ACM fournit une sécurité essentielle pour l’utilisation d'une CA en respectant les règles de conformité internes des clients et les meilleures pratiques de sécurité.

Booster l'agilité des développeurs

La CA privée d'ACM vous fournit l'agilité nécessaire pour créer et déployer des certificats en quelques appels d'API ou commandes CLI seulement, ou via des modèles AWS CloudFormation. La CA privée d'ACM permet aux administrateurs CA de déléguer l’émission de certificats privés aux développeurs en les autorisant à effectuer des demandes de certificats à partir de CA privées partagées avec leurs comptes AWS. Vous pouvez également automatiser la création de certificats pour des cas d'utilisation impliquant un volume important de certificats à courte durée de vie. Par exemple, vous pouvez créer et déployer automatiquement des certificats pour identifier de nouvelles instances EC2 et des conteneurs dans des environnements d'Auto Scaling ou pour authentifier des messages de notification d'événement envoyés à partir de fonctions AWS Lambda.

Flexibilité pour la personnalisation de certificats privés

La CA privée d'ACM peut s'utiliser comme service autonome, sans gestion de certificats d'ACM, pour créer et déployer des certificats privés personnalisés, tels que des certificats dotés de durées de vie ou de noms personnalisés. Cette flexibilité est utile dans des cas d'utilisation nécessitant l'identification de ressources par un nom spécifique, par exemple pour l'identification d'un appareil par son numéro de série, ou lorsque des certificats ne peuvent pas être renouvelés simplement (certificats intégrés à des appareils matériels lors du processus de fabrication, par exemple).

Tarification à l'utilisation

La CA privée d'ACM est plus rentable que les options traditionnelles disponibles dans le commerce. La CA privée d'ACM vous offre la possibilité de payer mensuellement le service et les certificats que vous créez et déployez. Plus vous utilisez de certificats, moins vous payez. Pour en savoir plus sur la tarification , cliquez ici.

Fonctionnalités

Autorité de certification gérée par AWS

La CA privée d'ACM est un service géré qui automatise les tâches administratives fastidieuses telles que la mise en service de matériel, l'application de correctifs logiciels, la haute disponibilité et les sauvegardes. La CA privée d'ACM apporte la sécurité, la configuration la gestion et la surveillance d'une CA privée hautement disponible. La CA privée d'ACM vous permet de choisir parmi plusieurs algorithmes de clés de CA et tailles de clés, notamment RSA 2048 ou 4096 et ECDSA P256 ou P384. ACM simplifie également l'exportation et le déploiement de certificats privés n'importe où grâce à l'automatisation basée sur les API.

Gestion intégrée du cycle de vie des certificats

Grâce à la CA privée d'ACM, vous pouvez déléguer la gestion des certificats à ACM pour les certificats utilisés avec des services intégrant ACM, comme Elastic Load Balancing et API Gateway. Vous pouvez facilement créer et déployer des certificats privés grâce à AWS Management Console ou aux API AWS. ACM peut automatiser le renouvellement et le déploiement de ces certificats. La CA privée d'ACM vous apporte également des API pour l'automatisation de la création et du renouvellement des certificats privés pour les ressources sur site, les instances EC2 et les appareils IoT. La CA privée d'ACM vous donne la possibilité de gérer des certificats privés par vous-même sans la gestion de certificats d'ACM.

Autorité de certification racine sécurisée et gestion d'une hiérarchie d’autorités de certification

La hiérarchie de CA privées ACM permet de renforcer la sécurité et de fournir des contrôles d'accès restrictifs pour l'autorité de certification racine la plus fiable au sommet de la chaîne de confiance, tout en permettant un accès plus permissif et une émission de certificats en bloc pour les autorités de certification subordonnées situées plus bas dans la chaîne. Vous pouvez déterminer qui peut créer une CA ou restreindre l'accès aux CA existantes à l'aide des stratégies AWS Identity and Access Management (IAM). Toutes les CA privées d'ACM dans une hiérarchie protègent les clés privées CA dans le matériel FIPS 140-2 de niveau 3.

Stockage sécurisé des clés basées sur HSM pour les clés de CA

Les clés utilisées par une autorité de certification pour signer des certificats sont extrêmement importantes. La CA privée d'ACM sécurise les clés de CA avec des modules de sécurité matériels gérés par AWS, aussi connus sous le nom d'HSM. Ces HSM respectent les normes de sécurité FIPS 140-2 niveau 3 pour vous aider à protéger votre CA privée contre les altérations de clés.

Intégration d'IAM

Vous pouvez contrôler l'accès au service de CA privée grâce aux politiques AWS IAM. Par exemple, vous pouvez créer une politique pour donner aux administrateurs informatiques responsables de la gestion de la CA un accès complet pour créer et configurer des CA privées tout en octroyant un accès limité aux développeurs et aux utilisateurs n'ayant besoin que d'émettre et révoquer des certificats.

Génération de listes de révocation de certifications (CRL)

La CA privée d'ACM publie et met à jour automatiquement des listes de révocation de certificats sur votre compartiment Amazon S3. Les applications, services et appareils utilisent les CRL pour évaluer le statut d'un certificat chaque fois qu'une connexion se fait entre deux ressources. Par exemple, une application IoT peut vérifier si le certificat privé d'un capteur est valide avant d'accepter les données de ce même capteur.

Partage de CA entre comptes

Le partage de CA au sein de votre organisation ou dans vos comptes AWS vous épargne des coûts et de la complexité liés à la création et à la gestion de CA en double dans tous vos comptes AWS. Vous pouvez créer via AWS Resource Access Manager (RAM) des partages de ressources qui incluent des CA privées d’ACM et sont associées à un ensemble de comptes ou d’AWS Organizations. Cela permet à ces comptes d’émettre des certificats privés depuis une CA partagée. Lorsque vous utilisez AWS Certificate Manager pour émettre des certificats privés à partir d’une CA partagée, ces derniers sont générés localement dans le compte demandeur, et ACM fournit la gestion et le renouvellement de l’ensemble du cycle de vie.

Personnalisation

La CA privée d'ACM peut être utilisée en tant que service autonome pour émettre des certificats directement, sans avoir à utiliser ACM pour la gestion des clés privées et des certificats. De cette manière, vous pouvez créer des certificats avec le nom d'objet de votre choix, ainsi que tous les algorithmes de clés, toutes les tailles de clés et tous les algorithmes de signature pris en charge, et avec toutes les périodes de validité disponibles (jours, mois, années) à partir de la date en cours ou d'une date de fin spécifiée.

Audit et journalisation

La CA privée d'ACM vous donne, ainsi qu'aux auditeurs, la visibilité sur l'activité de vos CA privées. Vous pouvez créer des rapports d'audit comprenant le statut de tous les certificats émis depuis la CA. La CA privée d'ACM s'intègre à AWS CloudTrail. CloudTrail capture des appels d'API provenant de la console de la CA privée d'ACM, de l'interface de ligne de commande ou de votre code, puis le service apporte les fichiers journaux à votre compartiment S3. En utilisant les informations collectées par CloudTrail, vous pouvez déterminer la demande effectuée, l'adresse IP à l'origine de la demande, le moment où elle a été effectuée, etc.

Automatisation basée sur les API

Pour automatiser la gestion de certificats, vous pouvez rédiger du code dans le langage de programmation de votre choix à l'aide de la CA privée d'ACM et des API d'ACM. Les Kits SDK AWS simplifient l'authentification et s'intègrent efficacement à votre environnement de développement. Vous pouvez également rédiger des scripts ou des commandes ponctuelles avec des outils de ligne de commande pour interagir avec le service.

ArcticWolfNetworksLogo

Arctic Wolf Networks (AWN) est un fournisseur de services SOC leader sur le marché qui offre une surveillance 24 h/24 et 7 j/7 ainsi qu'une détection et une réponse aux menaces gérées pour les applications et infrastructures sur site et en nuage. Nous utilisons L’autorité de certification privée (CA) d’AWS Certificate Manager pour émettre des certificats afin d'assurer des connexions sécurisées entre nos capteurs et notre plateforme du Centre des opérations de sécurité spécialement créée qui s’exécute sur AWS. La CA privée d’ACM nous fournit une CA sécurisée et gérée que nous pouvons intégrer dans notre infrastructure à l'aide d’API AWS familières.

Michael Hart, Directeur
Ingénierie des infrastructures

Cas d'utilisation

Respect des exigences en matière de conformité

En facilitant l'activation des protocoles SSL/TLS, AWS Certificate Manager peut aider votre organisation à satisfaire les exigences en matière de réglementation et de conformité relatives au chiffrement des données en transit. Pour obtenir des informations spécifiques concernant la conformité, consultez le site de conformité du cloud AWS.

Temps de fonctionnement amélioré

AWS Certificate Manager vous aide à relever les défis liés à la tenue à jour des certificats SSL/TLS, notamment les renouvellements de certificats, pour que vous n'ayez pas à vous préoccuper de l'expiration des certificats.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Découvrez comment démarrer

Mise en route avec AWS Certificate Manager

En savoir plus 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Créer gratuitement un compte

Obtenez un accès instantané à l'offre gratuite d'AWS.

S'inscrire 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Commencez à créer sur la console

Commencez à créer avec AWS Certificate Manager dans la console AWS.

Se connecter