ACM Private CA menyediakan layanan CA privat yang sangat tersedia untuk Anda tanpa investasi di muka dan biaya pemeliharaan berjalan dari pengoperasian CA privat Anda. AWS Certificate Manager (ACM) Private Certificate Authority (CA) adalah layanan CA privat yang memperluas kapabilitas manajemen sertifikat ACM baik untuk sertifikat publik maupun privat.  ACM Private CA memungkinkan developer menjadi lebih tangkas dengan menyediakan API untuk membuat dan men-deploy sertifikat privat secara terprogram. Anda juga memiliki fleksibilitas untuk membuat sertifikat privat bagi aplikasi yang memerlukan masa aktif sertifikat atau nama sumber daya kustom. Dengan ACM Private CA, Anda dapat membuat dan mengelola sertifikat privat untuk sumber daya terkoneksi di dalam satu tempat dengan layanan CA privat yang aman, dibayar sesuai pemakaian, dan terkelola.

Administrator CA dapat menggunakan ACM Private CA untuk membuat hierarki CA yang lengkap, termasuk CA root dan subordinat online, tanpa perlu CA eksternal. ACM Private CA juga mengizinkan hierarki hybrid dengan CA offline dan online. Hierarki CA memberikan kontrol keamanan yang kuat dan akses yang terbatas untuk CA root paling tepercaya di bagian atas rantai kepercayaan, sekaligus mengizinkan akses lebih permisif dan penerbitan sertifikat dalam jumlah besar untuk CA subordinat yang lebih rendah di rantai tersebut. Anda dapat membuat CA yang aman dan sangat tersedia tanpa membangun dan memelihara infrastruktur CA on-premise. Anda dapat membagikan CA ke seluruh akun AWS atau ke seluruh organisasi untuk mengaktifkan manajemen pusat CA Anda dengan penerbitan melalui ACM atau langsung dari CA. Proses ini mengurangi jumlah CA yang perlu Anda kelola dan bayar, dan memungkinkan Anda untuk memisahkan tugas administrasi CA dari penerbitan sertifikat.

 

AWS Summit San Francisco 2018 - AWS Certificate Manager Private Certificate Authority

Keuntungan

Private Certificate Authority yang Aman dan Terkelola

ACM Private CA menyediakan cara yang lebih mudah dan aman untuk membuat CA privat dan menggunakannya untuk membuat dan mengelola sertifikat Anda. ACM Private CA terlindungi dengan modul keamanan perangkat keras (HSM) yang dikelola AWS. HSM tersebut patuh pada standar keamanan FIPS 140-2 untuk menyimpan kunci bagi CA privat Anda dengan aman. Administrator CA privat dapat mengontrol akses ke layanan menggunakan kebijakan AWS Identity and Access Management (IAM). Anda dapat membagikan CA menggunakan AWS Resource Access Manager (RAM) hanya untuk penerbitan sertifikat, yang menjaga agar administrasi CA terbatas bagi administrator. ACM Private CA menyediakan visibilitas ke dalam aktivitas sertifikat privat dan memungkinkan Anda untuk membuat laporan. Anda dapat mengaudit aktivitas CA menggunakan layanan pencatatan dan pemantauan AWS CloudTrail. ACM Private CA juga mempublikasikan dan memperbarui daftar penarikan sertifikat (CRL) ke Amazon S3 secara otomatis untuk membantu mencegah penggunaan sertifikat yang ditarik. Sebagai contoh, aplikasi IoT dapat memeriksa apakah sertifikat privat untuk sensor valid sebelum menerima data dari sensor.

Mengelola Otoritas Sertifikat Secara Terpusat

ACM Private CA dapat dibuat dan dikelola di dalam satu akun kemudian dibagikan dengan akun AWS lain yang perlu menerbitkan sertifikat. Melalui AWS Resource Access Manager, sebuah layanan AWS yang memungkinkan Anda membagikan sumber daya AWS dengan setiap akun AWS atau yang di dalam AWS Organization, pelanggan dapat menentukan pembagian sumber daya yang berisi CA untuk dibagikan dengan sekumpulan akun atau organisasi. Laporan audit CA menyediakan detail seluruh sertifikat yang diterbitkan dari CA tersebut. Setiap akun tempat CA dibagikan dapat menggunakan AWS Certificate Manager untuk membuat dan menerbitkan sertifikat ataupun memanggil CA secara langsung untuk menandatangani permintaan penandatanganan sertifikat (CSR).

Hierarki CA yang lengkap

ACM Private CA memungkinkan administrator CA membuat hierarki CA yang fleksibel, termasuk CA root dan subordinat, tanpa perlu CA eksternal. Pelanggan dapat membuat CA yang aman dan sangat tersedia di setiap Wilayah AWS tempat ACM Private CA tersedia, tanpa membangun dan memelihara infrastruktur CA on-premise mereka sendiri. Atau, hierarki CA dapat dibangun pada mode hybrid, mengombinasikan CA online dan on-premise. Selain manajemen yang sederhana, ACM Private CA menyediakan keamanan penting untuk pengoperasian CA sesuai dengan praktik terbaik peraturan dan keamanan kepatuhan internal pelanggan.

Memungkinkan Ketangkasan Developer

ACM Private CA memberikan ketangkasan untuk membuat dan men-deploy sertifikat dengan hanya beberapa panggilan API, perintah CLI, atau melalui templat AWS CloudFormation. ACM Private CA mengizinkan administrator CA mendelegasikan penerbitan sertifikat privat ke developer dengan mengizinkan mereka meminta sertifikat dari CA privat yang dibagikan ke akun AWS mereka. Anda juga dapat mengotomatiskan pembuatan sertifikat untuk kasus penggunaan yang membutuhkan sertifikat berumur pendek yang bervolume besar. Sebagai contoh, Anda dapat membuat dan men-deploy sertifikat secara otomatis untuk mengidentifikasi kontainer dan instans EC2 baru di lingkungan penskalaan otomatis, atau untuk mengautentikasi pesan notifikasi peristiwa yang dikirim dari fungsi AWS Lambda.

Fleksibilitas untuk Mengustomisasi Sertifikat Privat

ACM Private CA dapat digunakan sebagai layanan mandiri, tanpa manajemen sertifikat ACM, untuk membuat dan men-deploy sertifikat privat yang dikustomisasi, seperti sertifikat dengan masa aktif dan nama sumber daya kustom. Fleksibilitas ini sangat membantu dalam kasus penggunaan yang perlu mengidentifikasi sumber daya dengan nama khusus, misalnya mengidentifikasi perangkat berdasarkan nomor serinya, atau saat sertifikat tidak dapat diputar dengan mudah, seperti sertifikat yang melekat ke perangkat keras selama proses manufaktur.

Harga Bayar Sesuai Pemakaian

ACM Private CA lebih hemat biaya dibandingkan dengan opsi tradisional yang tersedia secara komersial. ACM Private CA memungkinkan Anda untuk membayar secara bulanan untuk layanan serta sertifikat yang Anda buat dan deploy. Anda membayar lebih sedikit jika menggunakan lebih banyak sertifikat. Pelajari selengkapnya tentang harga di sini

Fitur

Otoritas Sertifikat dikelola AWS

ACM Private CA adalah layanan terkelola yang mengotomatiskan tugas administratif yang memakan waktu, seperti penyediaan perangkat keras, patching perangkat lunak, ketersediaan tinggi, dan pencadangan. ACM Private CA memberikan keamanan, konfigurasi, manajemen, dan pemantauan terhadap CA privat yang sangat tersedia. ACM Private CA mengizinkan Anda memilih di antara beberapa algoritme dan ukuran kunci CA, termasuk RSA 2048 atau 4096 dan ECDSA P256 atau P384. ACM juga memudahkan Anda untuk mengekspor dan men-deploy sertifikat privat di mana pun menggunakan otomatisasi berbasis API.

Manajemen Siklus Hidup Sertifikat Terintegrasi

Dengan ACM Private CA, Anda dapat memilih untuk mendelegasikan manajemen sertifikat ke ACM untuk sertifikat yang digunakan melalui layanan yang terintegrasi ACM, seperti Elastic Load Balancing dan API Gateway. Anda dapat dengan mudah membuat dan men-deploy sertifikat privat menggunakan Konsol Manajemen AWS atau API AWS. ACM dapat mengotomatiskan pembaruan dan deployment sertifikat tersebut. ACM Private CA juga menyediakan API untuk mengotomatiskan pembuatan dan pembaruan sertifikat privat untuk sumber daya on-premise, instans EC2, serta perangkat IoT. ACM Private CA memberikan Anda fleksibilitas untuk mengelola sertifikat privat Anda sendiri tanpa manajemen sertifikat ACM.

Manajemen hierarki CA dan CA root yang aman

Hierarki ACM Private CA menyediakan kontrol keamanan yang kuat dan akses yang terbatas untuk CA root paling tepercaya di bagian atas rantai kepercayaan, sekaligus mengizinkan akses lebih permisif dan penerbitan sertifikat dalam jumlah besar untuk CA subordinat yang lebih rendah di rantai tersebut. Anda dapat mengontrol siapa yang dapat membuat CA baru atau membatasi akses atas CA yang sudah ada menggunakan kebijakan AWS Identity and Access Management (IAM). Seluruh ACM Private CA yang berada di hierarki melindungi kunci CA privat Anda di perangkat keras FIPS 140-2.

Penyimpanan Kunci didukung HSM yang aman untuk Kunci CA

Kunci yang digunakan oleh otoritas sertifikat untuk menandatangani sertifikat sangatlah sensitif. ACM Private CA mengamankan kunci CA menggunakan modul keamanan perangkat keras yang dikelola AWS, juga dikenal sebagai HSM. HSM tersebut patuh pada standar keamanan FIPS 140-2 untuk membantu melindungi Private CA Anda terhadap kebocoran kunci. Detail mengenai perangkat keras FIPS 140-2 dapat ditemukan di dokumentasi Private CA.

Integrasi IAM

Anda dapat mengontrol akses ke layanan Private CA dengan kebijakan AWS IAM. Sebagai contoh, Anda dapat membuat kebijakan untuk memberikan akses penuh bagi administrator IT yang bertanggung jawab terhadap manajemen CA untuk membuat dan mengonfigurasi Private CA, sekaligus memberikan akses terbatas untuk developer dan pengguna yang hanya butuh menerbitkan dan menarik sertifikat.

Penarikan Sertifikat dengan CRL dan OCSP

Saat membuat koneksi TLS terenkripsi, infrastruktur penarikan menginformasikan titik akhir bahwa sertifikat tidak boleh dipercaya. Pelanggan Private CA dapat memilih Protokol Status Sertifikat Online (OCSP), Daftar Penarikan Sertifikat (CRL), atau keduanya, untuk mendistribusikan informasi penarikan ke sertifikat privat mereka.

Berbagi CA Lintas Akun

Berbagi CA dengan seluruh organisasi atau akun AWS menghindari biaya dan kompleksitas dalam membuat dan mengelola CA duplikat di semua akun AWS Anda. Anda dapat membuat pembagian sumber daya melalui AWS Resource Access Manager (RAM) yang meliputi ACM Private CA dan dikaitkan ke sekumpulan akun atau AWS Organizations. Fungsi ini mengizinkan akun tercakup untuk menerbitkan sertifikat privat dari CA yang dibagikan. Saat menggunakan AWS Certificate Manager untuk menerbitkan sertifikat privat dari CA yang dibagikan, sertifikat akan dihasilkan secara lokal di dalam akun yang meminta dan ACM menyediakan manajemen serta pembaruan siklus hidup secara penuh.

Kustomisasi

ACM Private CA dapat digunakan sebagai layanan mandiri untuk menerbitkan sertifikat secara langsung tanpa menggunakan ACM untuk manajemen kunci privat dan sertifikat. Jika digunakan dengan demikian, Anda dapat membuat sertifikat dengan nama subjek apa pun yang Anda inginkan, dengan segala algoritme kunci yang didukung, ukuran kunci, algoritme penandatanganan, dan dengan semua periode validitas, meliputi hari, bulan, atau tahun dari waktu saat ini, atau tanggal berakhir yang spesifik.

Pengauditan dan pencatatan

ACM Private CA memberikan Anda dan auditor Anda visibilitas pada aktivitas Private CA. Anda dapat membuat laporan audit yang meliputi status seluruh sertifikat yang diterbitkan dari CA. ACM Private CA terintegrasi dengan AWS CloudTrail. CloudTrail menangkap panggilan API dari konsol ACM Private CA, CLI, atau dari kode Anda, dan mengirimkan berkas log ke bucket S3. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat, alamat IP tempat permintaan berasal, kapan permintaan tersebut dibuat, dan lain-lain.

Otomatisasi berbasis API

Anda dapat menulis kode untuk mengotomatiskan manajemen sertifikat dalam bahasa pemrograman pilihan Anda menggunakan ACM Private CA dan API ACM. SDK AWS membuat autentikasi menjadi lebih sederhana dan berintegrasi secara efisien dengan lingkungan pengembangan Anda. Anda juga dapat menulis skrip atau perintah yang berlangsung satu kali menggunakan alat baris perintah untuk berinteraksi dengan layanan.

Membantu memenuhi persyaratan kepatuhan

Dengan memudahkan pengaktifan SSL/TLS, AWS Certificate Manager dapat membantu organisasi Anda memenuhi persyaratan peraturan dan kepatuhan untuk enkripsi data dalam transit. Untuk informasi spesifik mengenai kepatuhan, lihat Situs AWS Cloud Compliance.

Peningkatan waktu aktif

AWS Certificate Manager membantu mengelola tantangan dalam pemeliharaan sertifikat SSL/TLS, termasuk pembaruan sertifikat, sehingga Anda tidak perlu mengkhawatirkan sertifikat yang kedaluwarsa.

ArcticWolfNetworksLogo
Blacksky
Arctic Wolf Networks (AWN) adalah penyedia SOC sebagai layanan terdepan dalam industri yang menawarkan pemantauan 24x7 dan deteksi serta respons ancaman terkelola untuk aplikasi dan infrastruktur cloud serta on-premise. Kami menggunakan ACM Private Certificate Authority (CA) untuk menerbitkan sertifikat guna memastikan koneksi aman dari sensor kami ke platform Pusat Operasi Keamanan yang dibuat secara khusus, yang berjalan di AWS. ACM Private CA memberikan kami CA yang aman dan terkelola, yang dapat kami integrasikan ke dalam infrastruktur milik kami menggunakan API AWS yang sudah dikenal.

Michael Hart, Direktur Rekayasa Infrastruktur (Director of Infrastructure Engineering) - Artic Wolf

Kasus penggunaan

TLS untuk Layanan AWS

Dengan AWS Certificate Manager, Anda dapat dengan cepat meminta sertifikat, men-deploy sertifikat tersebut ke sumber daya AWS yang diintegrasikan dengan ACM, seperti Elastic Load Balancer, distribusi Amazon CloudFront, serta API di API Gateway, dan memungkinkan AWS Certificate Manager menangani pembaruan sertifikat. Sertifikat privat digunakan untuk mengidentifikasi dan mengamankan komunikasi antara sumber daya yang terkoneksi pada jaringan privat, seperti server, perangkat seluler dan IoT, serta aplikasi.

ACM mendukung permintaan sertifikat dari AWS Private CA dan mengelola siklus hidup sertifikat untuk sertifikat privat Anda, baik dengan mengaitkannya dengan sumber daya AWS maupun mengekspornya untuk penggunaan di luar AWS. Untuk mempelajari selengkapnya, lihat Panduan Memulai AWS Certificate Manager.

TLS untuk Kubernetes

Kontainer dan aplikasi Kubernetes menggunakan sertifikat digital untuk menyediakan autentikasi dan enkripsi yang aman terhadap TLS. Cert-manager adalah sebuah pengaya (add on) Kubernetes untuk menyediakan manajemen sertifikat TLS. Cert-manager meminta dan mendistribusikan sertifikat ke kontainer Kubernetes, serta mengotomatiskan pembaruan sertifikat. Cert-manager memastikan sertifikat valid dan terkini, serta berusaha memperbarui sertifikat di waktu yang tepat sebelum kedaluwarsa.

AWS Private CA mendukung plugin sumber terbuka untuk cert-manager yang menawarkan solusi otoritas sertifikat yang lebih aman untuk kontainer Kubernetes. Pelanggan yang menggunakan cert-manager untuk manajemen siklus hidup sertifikat aplikasi dapat menggunakan solusi ini untuk meningkatkan keamanan atas CA cert-manager default, yang menyimpan kunci pada teks biasa di memori server. Pelanggan dengan persyaratan regulasi untuk mengontrol akses dan mengaudit operasi CA mereka dapat menggunakan solusi ini untuk meningkatkan kemampuan audit dan mendukung kepatuhan. Anda dapat menggunakan plugin AWS Private CA Issuer dengan Amazon Elastic Kubernetes Service, Kubernetes yang dikelola sendiri di AWS, dan Kubernetes on-premise. Untuk mempelajari selengkapnya, lihat dokumentasi Private CA untuk konfigurasi dengan Kubernetes. 

Standard Product Icons (Features) Squid Ink
Pelajari cara memulai

Memulai dengan AWS Certificate Manager

Pelajari selengkapnya 
Sign up for a free account
Daftar untuk akun gratis

Dapatkan akses secara instan ke AWS Tingkat Gratis.

Daftar 
Standard Product Icons (Start Building) Squid Ink
Mulai membangun di konsol

Mulai membangun dengan AWS Certificate Manager di Konsol AWS.

Masuk