AWS Certificate Manager (ACM) Private Certificate Authority (CA) è un servizio gestito di autorità di certificazione privata che permette di gestire in modo semplice e sicuro il ciclo di vita dei certificati privati. ACM Private CA fornisce un servizio di autorità di certificazione privata ad elevata disponibilità senza investimenti anticipati o costi di manutenzione. ACM Private CA estende le funzionalità di gestione di certificati di ACM ai certificati privati, consentendone una gestione unificata e centralizzata. Il servizio permette agli sviluppatori una maggiore agilità, fornendo loro API per creare e distribuire in modo programmatico certificati privati. Inoltre, offre grande flessibilità, poiché permette di soddisfare le esigenze di applicazioni che richiedono certificati con durate o nomi di risorse personalizzati. Con ACM Private CA, è possibile creare e gestire certificati privati per le risorse connesse da un'unica posizione, con un servizio sicuro e gestito con tariffe a consumo.

AWS Summit San Francisco 2018 - AWS Certificate Manager Private Certificate Authority

Vantaggi

Autorità sicura e gestita di certificazione privata

ACM Private CA fornisce un modo semplice e sicuro per creare un'autorità di certificazione privata da utilizzare per creare e gestire certificati privati. Questo servizio è protetto da moduli di sicurezza hardware o HSM (Hardware Security Module) gestiti da AWS. Questi moduli HSM sono conformi allo standard FIPS 140-2 Level 3, per consentire la memorizzazione sicura delle chiavi per le autorità di certificazione privata. Gli amministratori di autorità di certificazione privata, inoltre, possono controllare l'accesso al servizio utilizzando le policy di AWS Identity and Access Management (IAM). ACM Private CA offre visibilità sulle attività di certificazione privata e permette di creare nuovi report. È possibile effettuare audit di autorità di certificazione privata con il servizio di monitoraggio e registrazione di log di AWS CloudTrail. ACM Private CA, inoltre, pubblica in Amazon S3 e aggiorna automaticamente elenchi di revoche di certificati o CRL (Certificate Revocation List), per aiutare a prevenire l'uso di certificati già revocati. Ad esempio, un'applicazione IoT può verificare che il certificato privato utilizzato per un sensore sia valido prima di accettare dati.

Gestione di certificati centralizzata

ACM Private CA permette di gestire il ciclo di vita di certificati privati e pubblici. Con questo servizio, è possibile scegliere di delegare la gestione dei certificati ad ACM per i certificati impiegati in servizi integrati, ad esempio Elastic Load Balancing e API Gateway. I certificati privati possono essere creati e distribuiti con la massima semplicità tramite Console di gestione AWS o API AWS. ACM può rinnovare e distribuire automaticamente questi certificati. ACM Private CA inoltre offre API per automatizzare la creazione e il rinnovo di certificati privati per risorse locali, istanze EC2 e dispositivi IoT. Grazie alla flessibilità garantita dal servizio, è possibile gestire certificati privati in modo indipendente, senza la gestione di ACM.

Maggiore agilità per gli sviluppatori

ACM Private CA offre la possibilità di creare e distribuire certificati con poche chiamate API. Il servizio permette di delegare la gestione dei certificati privati agli sviluppatori, consentendo loro di richiedere certificati da altre autorità di certificazione private collegate al loro account AWS. Inoltre, è possibile automatizzare la creazione di certificati per casi d'uso che richiedono elevati volumi di certificati di breve durata. Ad esempio, è possibile creare e distribuire automaticamente certificati per identificare nuovi container e istanze EC2 in un ambiente con scalabilità automatica, oppure per autenticare messaggi di notifica di evento inviati da funzioni AWS Lambda.

Personalizzazione di certificati privati

ACM Private CA può essere utilizzato come servizio autonomo senza la gestione dei certificati di ACM, per creare e distribuire certificati privati personalizzati, ad esempio con durate e nomi di risorse specifici. Questo livello di flessibilità risulta molto utile nei casi d'uso in cui è necessario identificare risorse specifiche in base al nome, ad esempio un dispositivo dal numero di serie, oppure quando non è facile modificare periodicamente i certificati, ad esempio quando vengono integrati su dispositivi hardware durante il processo di produzione.

Prezzi calcolati in base al consumo effettivo

ACM Private CA offre costi più competitivi rispetto alle altre opzioni sul mercato. Il servizio permette di pagare una tariffa mensile per il servizio e per i certificati implementati. La convenienza aumenta in base al numero elevato di certificati utilizzati. Ulteriori informazioni sui prezzi sono disponibili in questa pagina.

Caratteristiche

Autorità di certificazione gestita da AWS

ACM Private CA è un servizio gestito che automatizza le attività di amministrazione lunghe e complesse quali provisioning di hardware, applicazione di patch software, elevata disponibilità e backup. Il servizio offre protezione, configurazione, gestione e monitoraggio di autorità di certificazione ad elevata disponibilità. Inoltre, permette di scegliere tra chiavi di autorità di certificazione basate su vari algoritmi e di diverse dimensioni, ad esempio RSA 2048 o 4096 e ECDSA P256 o P384. ACM Private CA opera come autorità di certificazione subordinata, che si collega alla radice di autorità di certificazione esistente, permettendo di emettere certificati validi all'interno dell'organizzazione. Per utilizzare questo servizio, è necessario disporre di una propria radice di autorità di certificazione.

Gestione del ciclo di vita dei certificati

ACM Private CA si integra con ACM per consentire la gestione di certificati sia pubblici sia privati da una singola interfaccia. Quando viene utilizzato ACM per richiedere certificati da un’autorità di certificazione, il servizio genera e gestisce chiavi private, rinnova automaticamente i certificati e li distribuisce alle risorse nei servizi integrati con ACM, ad esempio sistemi di bilanciamento del carico Elastic Load Balancing ed endpoint di API Gateway. ACM, inoltre, semplifica l'esportazione e la distribuzione di certificati privati con automazione basata su API.

Audit e registrazione di log

Il sevizio offre a clienti e autorità di controllo visibilità sulle attività delle autorità di certificazione private. È possibile creare report di audit che includano lo stato di tutti i certificati emessi dall'autorità di certificazione. ACM Private CA si integra con AWS CloudTrail. Con CloudTrail è possibile rilevare le chiamate API da console di ACM Private CA, interfaccia a riga di comando e codice, memorizzando i file di log direttamente in un bucket S3. Con le informazioni raccolte da CloudTrail, è possibile risalire alla singola richiesta, al suo indirizzo IP, all'orario dell'evento e così via.

Storage di chiavi protetto da moduli HSM per le chiavi di autorità di certificazione

Le chiavi utilizzate da un'autorità di certificazione per firmare certificati sono dati estremamente sensibili. Il servizio protegge le chiavi con moduli di sicurezza hardware gestiti da AWS, noti anche come HSM (Hardware Security Module). Questi moduli HSM sono conformi allo standard FIPS 140-2 Level 3 e aiutano a proteggere le autorità di certificazione privata dalla perdita di chiavi.

Integrazione con IAM

È possibile controllare gli accessi al servizio di autorità di certificazione privata con le policy di AWS IAM. Ad esempio, è possibile creare una policy che garantisca agli amministratori IT responsabili della gestione dell'autorità di certificazione l'accesso completo a creazione e configurazione di autorità di certificazione private, limitando invece l'accesso a sviluppatori e utenti, che potranno esclusivamente emettere e revocare certificati.

Generazione di elenchi di revoche di certificati

ACM Private CA pubblica e aggiorna automaticamente elenchi di revoche di certificati, memorizzandoli in bucket Amazon S3. Applicazioni, servizi e dispositivi si avvalgono di questi elenchi per valutare lo stato di un certificato ogni volta che viene stabilita una connessione tra due risorse. Ad esempio, un'applicazione IoT può verificare che il certificato privato utilizzato per un sensore sia valido prima di accettare dati.

Automazione basata su API

Grazie alle API ACM Private CA e ACM, è possibile scrivere codice per automatizzare la gestione dei certificati nella sintassi di programmazione in uso in azienda. I kit SDK AWS rendono l'autenticazione più semplice e si integrano con la massima semplicità nell'ambiente di sviluppo. Inoltre, è possibile compilare script o singoli comandi utilizzando gli strumenti a riga di comando per interagire con il servizio.

Personalizzazione

ACM Private CA può essere impiegato come servizio autonomo per emettere certificati in modo diretto, senza utilizzare ACM per la gestione di certificato o chiave privata. Quando il servizio viene utilizzato in questo modo, è possibile creare certificati completamente personalizzati: oggetto, algoritmo o dimensione della chiave, algoritmo di firma e periodo di validità (espresso in giorni, mesi o anni di validità rimanenti oppure come data di scadenza).

Casi d'uso

Aiuta a rispettare i requisiti di conformità

Rendendo semplice l'implementazione della protezione SSL/TLS, AWS Certificate Manager può aiutare la tua organizzazione a rispettare i requisiti normativi e di conformità relativi alla crittografia dei dati in transito. Per informazioni specifiche sulla conformità, consulta il sito AWS Cloud Compliance.

Tempi di attività migliorati

AWS Certificate Manager aiuta a risolvere le problematiche legate alla manutenzione dei certificati SSL/TLS, ad esempio il rinnovo, per sollevare il cliente dalla preoccupazione di dover verificare la loro scadenza.

Informazioni sui prezzi di AWS Certificate Manager Private Certificate Authority

Visita la pagina dei prezzi
Tutto pronto per cominciare?
Nozioni di base su AWS Certificate Manager
Hai altre domande?
Contattaci