投稿日: Jan 4, 2022
AWS Certificate Manager (ACM) Private Certificate Authority (CA) は、Kubernetes コンテナ用のセキュアな認証機関ソリューションを提供するオープンソースプラグインである Private CA Kubernetes cert-manager バージョン 1.0 (v1.0) のリリースを発表します。ACM Private CA は、AWS が管理する高アベイラビリティーのプライベート CA サービスで、cert-manager は Kubernetes の TLS 証明書管理用に広く採用されているソリューションです。証明書ライフサイクル管理に cert-manager を使用するお客様は、このプラグインを ACM Private CA と共に使用して、キーをサーバーメモリにプレーンテキストで保存するデフォルトの cert-manager CA のセキュリティを向上させることができます。v1.0 のプラグインは、2021 年 7 月の v0.3.1 リリースの後継として新機能、メンテナンスの向上、およびバグフィックスが導入され、運用環境対応の状態で提供されます。このリリースでは、各ソフトウェア変更で実行する自動化されたエンドツーエンドの統合テストが追加されています。したがって、現在からのプラグインの変更は、リリースされる前に自動的にテストされます。その結果、品質と運用環境への対応が向上します。プラグインのリポジトリは AWS が所有する ECR リポジトリ内の利用可能なリリースを自動的にマークするので、お客様はプラグインの最新バージョンを常に取得できます。
Kubernetes コンテナとアプリケーションは、デジタル証明書を使用して、TLS を介して安全に認証および暗号化できるようにしています。このプラグインを使用して、cert-manager は ACM Private CA に TLS 証明書をリクエストします。ACM Private CA は、FIPS 検証済みハードウェアセキュリティモジュール (HSM) を使用して、CA キーを保護する高アベイラビリティーの監査可能なマネージド CA です。cert-manager と ACM Private CA 用プラグインは、イングレス、ポッド、ポッド間の相互 TLS などでの TLS の証明書オートメーションを提供します。ACM Private CA Kubernetes cert-manager プラグインは、Amazon Elastic Kubernetes Service、AWS 上のセルフマネージド Kubernetes、およびオンプレミスの Kubernetes で使用できます。
プラグインの詳細とプラグインを設定するためのステップバイステップの手順を確認するには、「TLS-enabled Kubernetes clusters with ACM Private CA and Amazon EKS」 (ACM Private CA と Amazon EKS を含む TLS 対応の Kubernetes クラスター) ブログ記事を参照してください。このプラグインは GitHub から入手できます。
ACM プライベート CA では、自社のプライベート CA を運用するための先行投資や継続的なメンテナンスにコストをかけずに、アベイラビリティの高いプライベート CA を取得することができます。CA 管理者は Private CA を使用して、外部の CA を必要とせずに、オンラインのルート CA や下位 CA を含む完全な CA 階層を作成できます。ACM Private CA では、セキュアで従量課金制のマネージド型 Private CA サービスを用いてリソースに対するプライベート証明書を一元的に作成できます。
cert-manager は、TLS 証明書管理を行う Kubernetes のアドオンです。cert-manager は証明書をリクエストし、Kubernetes コンテナに配布して証明書の更新を自動化します。cert-manager により、証明書が有効で最新であることが保証され、有効期限が切れる前の適切な時期に証明書の更新が試みられます。
ACM Private CA が利用可能なリージョンの一覧については、AWS のリージョンとエンドポイントを参照してください。
ACM Private CA の使用を開始するには、開始方法のページを参照してください。