AWS Certificate Manager(ACM) 사설 인증 기관(CA)은 사설 인증서의 수명 주기를 쉽고 안전하게 관리할 수 있는 관리형 사설 CA 서비스입니다. ACM 사설 CA는 자체 사설 CA 운영을 위한 사전 투자 및 지속적인 유지 관리 비용 필요 없이 가용성이 뛰어난 사설 CA 서비스를 제공합니다. ACM 사설 CA는 ACM의 인증서 관리 기능을 사설 인증서까지 확장 적용하여 중앙에서 공인 및 사설 인증서를 관리할 수 있도록 지원합니다. ACM 사설 CA에서는 개발자에게 사설 인증서를 프로그래밍 방식으로 생성 및 배포할 수 있는 API를 제공하므로 개발자가 좀 더 민첩하게 작업할 수 있습니다. 또한, 사용자 지정 인증서 수명 또는 리소스 이름이 필요한 애플리케이션용 사설 인증서를 생성할 수도 있습니다. ACM 사설 CA를 사용하면 안전하고 사용한 만큼만 지불하는 관리형 사설 CA 서비스를 통해, 연결된 리소스용 사설 인증서를 한곳에서 생성하고 관리할 수 있습니다.

AWS Certificate Manager 시작하기

무료 계정 생성
웹 사이트 보호 및 보안

ACM 사설 CA는 사설 CA를 생성할 수 있는 좀 더 쉽고 안전한 방법을 제공하며, 이를 사용해 사설 인증서를 생성 및 관리할 수 있습니다. ACM 사설 CA는 AWS에서 관리하는 하드웨어 보안 모듈(HSM)을 사용해 보호됩니다. 이러한 HSM은 FIPS 140-2 Level 3 보안 표준에 따라 사설 CA의 키를 안전하게 저장합니다. 사설 CA 관리자는 AWS Identity and Access Management(IAM) 정책을 사용해 서비스에 대한 액세스를 제어할 수 있습니다. ACM 사설 CA는 사설 인증서 활동에 대한 가시성을 제공하며, 사용자가 보고서를 생성할 수 있습니다. AWS CloudTrail 로깅 및 모니터링 서비스를 사용해 사설 CA 활동을 감사할 수 있습니다. 또한, ACM 사설 CA는 CRL(인증서 폐기 목록)을 Amazon S3로 자동으로 게시 및 업데이트하여 폐기된 인증서가 사용되는 것을 방지할 수 있습니다. 예를 들어 IoT 애플리케이션은 센서로부터 수신되는 데이터를 수락하기 전에 센서용 사설 인증서가 유효한지 확인할 수 있습니다.

웹 사이트 보호 및 보안

ACM 사설 CA를 사용하면 사설 및 공인 인증서 수명 주기를 관리할 수 있습니다. ACM 사설 CA에서는 Elastic Load Balancing 및 API Gateway와 같은 ACM 통합 서비스에 사용되는 인증서에 대해 인증서 관리를 ACM에 위임하도록 선택할 수 있습니다. AWS Management Console 또는 AWS API를 사용해 손쉽게 사설 인증서를 생성하고 배포할 수 있습니다. ACM은 이러한 인증서의 갱신 및 배포를 자동화할 수 있습니다. 또한, ACM 사설 CA에서는 온프레미스 리소스, EC2 인스턴스 및 IoT 디바이스용 사설 인증서의 생성 및 갱신을 자동화할 수 있는 API를 제공합니다. ACM 사설 CA는 ACM 인증서 관리 기능 없이도 자체적으로 사설 인증서를 관리할 수 있는 유연성을 제공합니다.

웹 사이트 보호 및 보안

ACM 사설 CA는 API 호출 몇 번만으로 인증서를 생성 및 배포할 수 있는 민첩성을 제공합니다. ACM 사설 CA를 사용하면 개발자가 자신의 AWS 계정에 연결된 사설 CA에서 인증서를 요청할 수 있도록 허용함으로써 개발자에게 사설 인증서 관리를 위임할 수 있습니다. 또한, 수명이 짧은 인증서가 다량으로 필요한 사용 사례를 위해 인증서 생성을 자동화할 수도 있습니다. 예를 들어 인증서를 자동으로 생성 및 배포하여 Auto-Scaling 환경에서 새로운 EC2 인스턴스 및 컨테이너를 식별하거나, AWS Lambda 함수에서 전송한 이벤트 알림 메시지를 인증할 수 있습니다.

웹 사이트 보호 및 보안

ACM 사설 CA는 ACM 인증서 관리 기능 없이도 독립형 서비스로 사용하여 사용자 지정된 사설 인증서(예: 사용자 지정 리소스 이름 또는 수명이 있는 인증서)를 생성 및 배포할 수 있습니다. 이러한 유연성은 특정 이름으로 리소스를 식별해야 하거나, 일련번호로 디바이스를 식별해야 하거나, 제조 공정에서 하드웨어 디바이스에 내장된 인증서처럼 인증서를 쉽게 교체할 수 없는 사용 사례에 도움이 됩니다.

웹 사이트 보호 및 보안

ACM 사설 CA는 기존 상용 옵션과 비교하여 좀 더 경제적입니다. ACM 사설 CA에서는 사용자가 생성하고 배포하는 서비스 및 인증서에 대해 월별로 결제할 수 있는 옵션을 제공합니다. 인증서를 더 많이 사용할수록 더 적은 요금을 지불하게 됩니다. 여기에서 요금에 대해 자세히 알아보십시오.

웹 사이트 보호 및 보안

ACM 사설 CA는 하드웨어 프로비저닝, 소프트웨어 패치, 고가용성, 백업 등 시간 소모적인 관리 작업을 자동화하는 관리형 서비스입니다. ACM 사설 CA는 가용성이 뛰어난 사설 CA의 보안, 구성, 관리 및 모니터링을 제공합니다. ACM 사설 CA를 사용하면 RSA 2048 또는 4096 및 ECDSA P256 또는 P384를 비롯하여 여러 CA 키 알고리즘과 키 크기 중에 선택할 수 있습니다. ACM 사설 CA는 기존 루트 CA에 "묶인" 하위 CA로서 작동하므로, 조직 내에서 신뢰할 수 있는 인증서를 발행할 수 있습니다. 이 서비스를 사용하려면 자체 루트 CA가 있어야 합니다.

웹 사이트 보호 및 보안

인증 기관에서 인증서에 서명하는 데 사용하는 키는 매우 민감합니다. ACM 사설 CA는 AWS에서 관리하는 하드웨어 보안 모듈, 즉 HSM을 사용해 CA 키를 보호합니다. 이러한 HSM은 FIPS 140-2 Level 3 보안 표준에 따라 키가 손상되지 않도록 사설 CA를 보호합니다.

웹 사이트 보호 및 보안

ACM 사설 CA는 ACM과 통합되므로 단일 콘솔 인터페이스에서 공인 및 사설 인증서를 모두 관리할 수 있습니다. ACM을 사용해 사설 CA에서 인증서를 요청하는 경우, ACM은 프라이빗 키를 생성 및 관리하고, 인증서를 자동으로 갱신하고, Elastic Load Balancing 로드 밸런서 및 API Gateway 엔드포인트를 비롯한 ACM 통합 서비스의 리소스에 인증서를 배포합니다. 또한, ACM을 사용하면 API 기반 자동화 기능을 통해 손쉽게 어디서나 사설 인증서를 내보내고 배포할 수 있습니다.

웹 사이트 보호 및 보안

AWS IAM 정책을 사용해 사설 CA 서비스에 대한 액세스를 제어할 수 있습니다. 예를 들어 CA 관리를 담당하는 IT 관리자에게는 사설 CA를 생성하고 구성할 수 있는 전체 액세스 권한을 부여하면서 인증서를 발행하고 폐기하기만 하면 되는 개발자와 사용자에게는 제한된 액세스 권한을 부여하도록 정책을 생성할 수 있습니다.

웹 사이트 보호 및 보안

ACM 사설 CA는 인증서 폐기 목록을 Amazon S3 버킷에 자동으로 게시 및 업데이트합니다. 애플리케이션, 서비스 및 디바이스에서 CRL을 사용해 두 리소스 간에 연결이 생성될 때마다 인증서 상태를 평가합니다. 예를 들어 IoT 애플리케이션은 센서로부터 수신되는 데이터를 수락하기 전에 센서용 사설 인증서가 유효한지 확인할 수 있습니다.

웹 사이트 보호 및 보안

ACM 사설 CA는 고객과 고객의 감사자에게 사설 CA 활동에 대한 가시성을 제공합니다. CA에서 발행한 모든 인증서의 상태가 포함된 감사 보고서를 생성할 수 있습니다. ACM 사설 CA는 AWS CloudTrail과 통합됩니다. CloudTrail은 ACM 사설 CA 콘솔, CLI 또는 코드에서 수행한 API 호출을 캡처하여 로그 파일을 S3 버킷으로 전송합니다. CloudTrail에서 수집한 정보를 사용하면 수신된 요청, 요청을 보낸 IP 주소, 요청된 시간 등을 확인할 수 있습니다.

웹 사이트 보호 및 보안

ACM 사설 CA 및 ACM API를 사용하여 원하는 프로그래밍 언어로 인증 관리를 자동화하도록 코드를 작성할 수 있습니다. AWS SDK를 사용하면 인증 작업이 좀 더 간편해지고 개발 환경과 효율적으로 통합할 수 있습니다. 또한, 명령줄 도구를 사용해 스크립트 또는 일회성 명령을 작성하여 서비스와 상호 작용할 수도 있습니다.

웹 사이트 보호 및 보안

인증서 및 프라이빗 키 관리를 위해 ACM을 사용하지 않고도 ACM 사설 CA를 독립형 서비스로 사용하여 직접 인증서를 발행할 수 있습니다. 이렇게 사용할 때는 원하는 제목, 지원되는 범위 내에서 원하는 키 알고리즘, 키 크기 및 서명 알고리즘, 원하는 유효 기간(지금부터 며칠, 몇 달, 몇 년 또는 종료 날짜 지정)으로 인증서를 생성할 수 있습니다.

SSL/TLS를 손쉽게 활성화할 수 있게 해주므로 AWS Certificate Manager를 사용하면 조직이 전송 데이터 암호화에 대한 규제 및 규정 준수 요구 사항을 충족하는 데 도움이 됩니다. 규정 준수에 대한 자세한 내용은 AWS 클라우드 규정 준수 사이트를 참조하십시오.

AWS Certificate Manager에서 인증서 갱신을 비롯한 SSL/TLS 인증서 유지 관리와 관련된 문제를 처리하므로 인증서 만료에 대해 걱정할 필요가 없습니다.