投稿日: Jul 15, 2021
ACM Private Certificate Authority (CA) は、Kubernetes コンテナに対してより安全な認証局ソリューションを提供する cert-manager のオープンソースプラグインをサポートするようになりました。cert-manager は、Kubernetes で TLS 証明書を管理するために広く採用されているソリューションです。アプリケーション証明書のライフサイクル管理に cert-manager を使用しているお客様は、このソリューションを使用して、サーバーメモリにプレーンテキストでキーを格納するデフォルトの cert-managerCA よりもセキュリティを向上させることができます。規制により CA オペレーションへのアクセスを制御および監査することが求められているお客様は、このソリューションを使用して監査可能性を向上させ、コンプライアンスを強化できます。
Kubernetes コンテナとアプリケーションは、デジタル証明書を使用して、TLS を介して安全に認証および暗号化できるようにしています。このプラグインを使用して、cert-manager は Private CA に TLS 証明書をリクエストします。Private CA は、FIPS 検証済みハードウェアセキュリティモジュール (HSM) を使用して、CA キーを保護する、可用性が高く、監査可能なマネージド CA です。この統合により、入力時、ポッド上、ポッド間の相互 TLS など、さまざまな設定で TLS の証明書の自動化がサポートされます。AWS Private CA Issuer プラグインは、Amazon Elastic Kubernetes Service、AWS 上のセルフマネージド Kubernetes、およびオンプレミスの Kubernetes で使用できます。
プラグインの詳細とプラグインを設定するためのステップバイステップの手順を確認するには、ACM Private CA と Amazon EKS を含む TLS 対応の Kubernetes クラスターブログをご覧ください。プラグインは GitHub から入手できます。
Private CA では、自社の Private CA を運用するための先行投資や継続的なメンテナンスにコストをかけずに、アベイラビリティの高いPrivate CA を得られます。CA 管理者は Private CA を使用して、外部の CA を必要とせずに、オンラインのルート CA や下位 CA を含む完全な CA 階層を作成できます。Private CA では、リソースに対するプライベート証明書を、セキュアで従量課金制のマネージド型 Private CA サービスを用いて一元的に作成できます。
cert-manager は、TLS 証明書管理を行う Kubernetes のアドオンです。cert-manager は証明書をリクエストし、Kubernetes コンテナに配布し、証明書の更新を自動化します。cert-manager により、証明書が有効で最新であるようにし、有効期限が切れる前の適切な時期に証明書を更新しようとします。
Private CA がご利用可能なリージョンの一覧については、AWS のリージョンならびにエンドポイントを参照してください。
Private CA の使用を開始するには、開始方法ページをご覧ください。