Publicado: Jul 15, 2021
O ACM Private Certificate Authority (CA) agora oferece suporte a um plugin de código aberto para cert-manager que oferece uma solução de autoridade de certificação mais segura para contêineres Kubernetes. O cert-manager é uma solução amplamente adotada para o gerenciamento de certificados TLS no Kubernetes. Os clientes que usam o cert-manager para gerenciamento do ciclo de vida do certificado da aplicação agora podem usar essa solução para melhorar a segurança em relação à CA padrão do cert-manager, que armazena chaves em texto simples na memória do servidor. Clientes com requisitos normativos para controlar o acesso e a auditoria de suas operações de CA podem usar essa solução para melhorar a auditabilidade e dar suporte à conformidade.
Contêineres e aplicações Kubernetes usam certificados digitais para fornecer autenticação e criptografia seguras via TLS. Com esse plugin, o cert-manager solicita certificados TLS do Private CA, uma CA altamente disponível, auditável e gerenciada que protege chaves de CA usando Módulos de Segurança de Hardware (HSMs) validados por FIPS. A integração oferece suporte à automação de certificados para TLS em uma variedade de configurações, inclusive na entrada, no pod e TLS mútuo entre pods. Você pode usar o plugin AWS Private CA Issuer com o Amazon Elastic Kubernetes Service, Kubernetes autogerenciados na AWS e Kubernetes on-premises.
Para saber mais sobre o plugin e ver as instruções passo a passo para configurá-lo, acesse este blog: Clusters Kubernetes habilitados para TLS com o ACM Private CA e o Amazon EKS. Você pode obter o plugin do GitHub.
O Private CA fornece a você um serviço CA privado altamente disponível sem o investimento inicial e os custos de manutenção contínuos de operar sua própria CA privada. Os administradores de CA podem usar a o Private CA para criar uma hierarquia de CA completa, incluindo CAs raiz e subordinadas online, sem necessidade de CAs externas. Com o Private CA, você pode criar certificados privados para seus recursos em um só lugar com um serviço de CA privado gerenciado seguro e pago conforme o uso.
cert-manager é um complemento ao Kubernetes para fornecer gerenciamento de certificados TLS. Ele solicita certificados, distribui-os para contêineres Kubernetes e automatiza a renovação do certificado. O cert-manager garante que os certificados sejam válidos e atualizados e tenta renovar certificados em um momento apropriado antes do vencimento.
Para obter uma lista de regiões em que o Private CA está disponível, consulte Regiões e endpoints da AWS.
Para começar a usar o Private CA, acesse a página Conceitos básicos.