Autoridade de certificados (AC) privada do AWS Certificate Manager (ACM) é um serviço de AC privada que amplia as capacidades de gerenciamento de certificados do ACM para certificados públicos e privados. A AC privada do ACM oferece um serviço de AC privada altamente disponível, sem o investimento adiantado e os custos de manutenção contínua da operação de uma AC privada própria. A AC privada do ACM aumenta a agilidade dos desenvolvedores, oferecendo APIs para criar e implantar programaticamente certificados privados. Você também tem a flexibilidade de criar certificados privados para aplicativos que exigem a personalização de tempos de vida ou de nomes de recursos de certificados. A AC privada do ACM é um serviço gerenciado seguro de AC privada, com pagamento conforme o uso, que você pode usar para criar e gerenciar em um único local certificados privados para recursos conectados.

Os administradores de AC podem usar a AC privada do ACM para criar uma hierarquia completa de AC, incluindo ACs raiz e subordinadas on-line, sem a necessidade de ACs externas. A AC privada do ACM também permite uma hierarquia híbrida com ACs off-line e on-line. A hierarquia de AC fornece fortes controles de segurança e acesso restrito para a AC raiz mais confiável no topo da cadeia de confiança, ao mesmo tempo que permite acesso mais permissivo e a emissão em massa de certificados para ACs subordinadas em um nível inferior da cadeia. Você pode criar ACs seguras e altamente disponíveis sem precisar criar e manter sua própria infraestrutura de AC local.

 

Conferência da AWS 2018 em São Francisco: Autoridade de certificados privada do AWS Certificate Manager

Benefícios

Autoridade de certificados privada, segura e gerenciada

A AC privada do ACM oferece uma forma mais fácil e segura de criar uma AC privada e usá-la para criar e gerenciar certificados privados. A AC privada do ACM é protegida por Hardware Security Modules (HSMs – Módulos de segurança de hardware) gerenciados pela AWS. Esses HSMs cumprem os padrões de segurança FIPS 140-2 nível 3 para armazenar de forma segura as chaves da AC privada. Os administradores da AC privada podem controlar o acesso ao serviço usando políticas do AWS Identity and Access Management (IAM). A AC privada do ACM proporciona visibilidade das atividades de certificados privados e permite criar relatórios. Você pode auditar as atividades da AC privada usando o serviço de registro em log e monitoramento do AWS CloudTrail. A AC privada do ACM também publica e atualiza automaticamente Certificate Revocation Lists (CRLs – Listas de revogação de certificados) no Amazon S3 para ajudar a evitar o uso de certificados revogados. Por exemplo, um aplicativo de IoT pode verificar se o certificado privado de um sensor é válido antes de aceitar dados desse sensor.

Gerencie certificados de forma centralizada

A AC privada do ACM permite gerenciar o ciclo de vida de certificados públicos e privados. Com a AC privada do ACM, você pode optar por delegar ao ACM o gerenciamento de certificados usados por serviços integrados ao ACM, como o Elastic Load Balancing e o API Gateway. Você pode criar e implantar facilmente certificados privados usando o Console de Gerenciamento da AWS ou as APIs da AWS. O ACM pode automatizar a renovação e a implantação desses certificados. Além disso, a AC privada do ACM oferece APIs para automatizar a criação e a renovação de certificados privados para recursos locais, instâncias do EC2 e dispositivos da IoT. A AC privada do ACM oferece a flexibilidade de gerenciar você mesmo certificados privados, sem o gerenciamento de certificados do ACM.

HIERARQUIAS DE AC COMPLETAS

A AC privada do ACM permite que os administradores de AC criem uma hierarquia flexível de AC, incluindo ACs raiz e subordinadas on-line, sem a necessidade de ACs externas. Os clientes podem criar ACs seguras e altamente disponíveis em qualquer região da AWS em que a AC privada do ACM está disponível sem desenvolver e manter sua própria infraestrutura de AC local. Como alternativa, as hierarquias de AC podem ser criadas em um modo híbrido, combinando ACs on-line e locais. Além de um simples gerenciamento, a AC privada do ACM proporciona uma segurança essencial para operar uma AC de acordo com as regras de conformidade internas dos clientes e com as melhores práticas de segurança.

Ofereça agilidade aos desenvolvedores

A AC privada do ACM proporciona a agilidade de criar e implantar certificados com apenas algumas chamadas de API. Com a AC privada do ACM, você pode delegar o gerenciamento de certificados privados para os desenvolvedores, permitindo que eles solicitem certificados das ACs privadas vinculadas a suas contas da AWS. Além disso, é possível automatizar a criação de certificados para casos de uso que exigem um grande volume de certificados de vida útil curta. Por exemplo, você pode criar e implantar automaticamente certificados para identificar novas instâncias e contêineres do EC2 em ambientes de escalabilidade automática ou para autenticar mensagens de notificação de eventos enviadas de funções do AWS Lambda.

Flexibilidade para personalizar certificados privados

A AC privada do ACM pode ser usada como serviço autônomo, sem o gerenciamento de certificados do ACM, para criar e implantar certificados privados personalizados, como certificados com nomes de recurso ou tempos de vida personalizados. Essa flexibilidade é útil em casos de uso que precisam identificar recursos por um nome específico. Por exemplo, para identificar um dispositivo por número de série ou quando não é fácil alternar certificados, como certificados incorporados em dispositivos de hardware durante o processo de fabricação.

Definição de preço com pagamento conforme o uso

A AC privada do ACM é mais econômica que as opções tradicionais disponíveis comercialmente. Com a AC privada do ACM, você pode pagar mensalmente pelo serviço e pelos certificados criados e implantados. Você paga menos à medida que usa mais certificados. Saiba mais sobre a definição de preço aqui.

Recursos

Autoridade de certificados gerenciada pela AWS

A AC privada do ACM é um serviço gerenciado que automatiza tarefas administrativas demoradas, como provisionamento de hardware, aplicação de patches de software, alta disponibilidade e backups. A AC privada do ACM oferece segurança, configuração, gerenciamento e monitoramento de uma AC privada altamente disponível. Com a AC privada do ACM, você pode optar entre vários algoritmos e tamanhos de chaves de AC, incluindo RSA 2048 ou 4096 e ECDSA P256 ou P384. ACM 

Gerenciamento do ciclo de vida dos certificados

A AC privada do ACM é integrada ao ACM para permitir que você gerencie certificados públicos e privados em uma única interface no console. Quando você usa o ACM para solicitar certificados da AC privada, o ACM gera e gerencia as chaves privadas, renova automaticamente os certificados e implanta os certificados em recursos de serviços integrados ao ACM, incluindo load balancers do Elastic Load Balancing e endpoints do API Gateway. Além disso, o ACM facilita a exportação e a implantação de certificados privados em qualquer lugar usando automação baseada em API.

AC RAIZ SEGURA E GERENCIAMENTO DE HIERARQUIAS DE AC

A hierarquia de AC privada do ACM fornece fortes controles de segurança e acesso restrito para a AC raiz mais confiável no topo da cadeia de confiança, ao mesmo tempo que permite acesso mais permissivo e a emissão em massa de certificados para ACs subordinadas em um nível inferior da cadeia. Você pode controlar quem cria uma nova AC ou restringir acesso a ACs existentes usando políticas de AWS Identity and Access Management (IAM). Todas as ACs privadas do ACM em uma hierarquia protegem suas chaves privadas em hardware do FIPS 140-2 nível 3

Armazenamento de chaves seguro baseado em HSM para chaves de AC

As chaves usadas por uma autoridade de certificados para assinar certificados são altamente confidenciais. A AC privada do ACM protege as chaves da AC com módulos de segurança de hardware (também conhecidos como HSMs) gerenciados pela AWS. Esses HSMs cumprem os padrões de segurança FIPS 140-2 nível 3 para ajudar a proteger a AC privada contra comprometimentos da chave.

Integração ao IAM

Você pode controlar o acesso ao serviço de AC privada com políticas do AWS IAM. Por exemplo, é possível criar uma política para conceder acesso completo para criação e configuração de ACs privadas a administradores de TI que são responsáveis pelo gerenciamento de ACs, e conceder acesso limitado para emissão e revogação de certificados a desenvolvedores e usuários.

Geração de lista de revogação de certificados (CRL)

A AC privada do ACM publica e atualiza automaticamente Certificate Revocation Lists (CRLs – Listas de revogação de certificados) em um bucket do Amazon S3. Aplicativos, serviços e dispositivos usam CRLs para avaliar o status de um certificado a cada vez que uma conexão é feita entre dois recursos. Por exemplo, um aplicativo de IoT pode verificar se o certificado privado de um sensor é válido antes de aceitar dados desse sensor.

Automação baseada em APIs

Você pode escrever código para automatizar o gerenciamento de certificados na sua linguagem de programação preferida usando a AC privada e as APIs do ACM. Os SDKs da AWS facilitam a autenticação e são integrados com eficiência ao ambiente de desenvolvimento. Você também pode escrever scripts ou comandos para uso único usando ferramentas da linha de comando para interagir com o serviço.

Personalização

A AC privada do ACM pode ser usada como um serviço autônomo para emitir certificados diretamente, sem usar o ACM para gerenciamento de certificados e chaves privadas. Quando usado dessa maneira, você pode criar certificados com qualquer nome de assunto desejado, com qualquer um dos algoritmos de chave suportados, tamanhos de chave, algoritmos de assinatura e qualquer período de validade, incluindo dias, meses ou anos a partir do horário atual ou um específico data final.

Auditoria e registro em log

A AC privada do ACM oferece a você e aos auditores visibilidade das atividades das ACs privadas. Você pode criar relatórios de auditoria que incluem o status de todos os certificados emitidos pela AC. A AC privada do ACM é integrada ao AWS CloudTrail. O CloudTrail captura chamadas de API do console da AC privada do ACM, da ILC ou de código e entrega os arquivos de log a um bucket do S3. Você pode usar as informações coletadas pelo CloudTrail para determinar a solicitação efetuada, o endereço IP de onde ela foi enviada, quando ela foi efetuada e assim por diante.

ArcticWolfNetworksLogo

A Arctic Wolf Networks (AWN) é uma fornecedora líder de serviços de SOC como líder de mercado que oferece monitoramento e detecção de ameaças gerenciados 24x7 e resposta para infraestrutura e aplicativos no local e em nuvem. Usamos a Autoridade de certificação (CA) privada do ACM para emitir certificados para garantir conexões seguras de nossos sensores à nossa plataforma Security Operations Center criada para uso específico, que é executada na AWS. ACM Private CA nos fornece uma CA segura e gerenciada que podemos integrar em nossa infraestrutura usando APIs conhecidas da AWS.

Michael Hart, diretor
Engenharia de infraestrutura

Casos de uso

Ajudar a cumprir requisitos de conformidade

Ao facilitar a ativação de SSL/TLS, o AWS Certificate Manager pode ajudar sua organização a cumprir requisitos de regulamentação e conformidade para criptografia de dados em trânsito. Para obter informações específicas sobre conformidade, consulte o site de conformidade da Nuvem AWS.

Maior tempo de disponibilidade

O AWS Certificate Manager ajuda a gerenciar os desafios de manter certificados SSL/TLS, incluindo renovações de certificados, para que você não precise se preocupar com expiração de certificados.

Step 1 - Sign up for an AWS account

Configurar e fazer login na sua conta da AWS

Com o AWS Certificate Manager, você pode configurar e começar a criar certificados em poucos minutos.

Saiba mais sobre a definição de preço da autoridade de certificados privada do AWS Certificate Manager

Acesse a página de definição de preço