A autoridade de certificados (AC) privada do AWS Certificate Manager (ACM) é um serviço gerenciado de AC privada que ajuda a gerenciar com facilidade e segurança o ciclo de vida de certificados privados. A AC privada do ACM oferece um serviço de AC privada altamente disponível, sem o investimento adiantado e os custos de manutenção contínua da operação de uma AC privada própria. A AC privada do ACM estende os recursos de gerenciamento de certificados do ACM para os certificados privados, o que permite gerenciar centralmente certificados públicos e privados. A AC privada do ACM aumenta a agilidade dos desenvolvedores, oferecendo APIs para criar e implantar programaticamente certificados privados. Você também tem a flexibilidade de criar certificados privados para aplicativos que exigem a personalização de tempos de vida ou de nomes de recursos de certificados. A AC privada do ACM é um serviço gerenciado seguro de AC privada, com pagamento conforme o uso, que você pode usar para criar e gerenciar em um único local certificados privados para recursos conectados.

Conferência da AWS 2018 em São Francisco: Autoridade de certificados privada do AWS Certificate Manager

Benefícios

Autoridade de certificados privada, segura e gerenciada

A AC privada do ACM oferece uma forma mais fácil e segura de criar uma AC privada e usá-la para criar e gerenciar certificados privados. A AC privada do ACM é protegida por Hardware Security Modules (HSMs – Módulos de segurança de hardware) gerenciados pela AWS. Esses HSMs cumprem os padrões de segurança FIPS 140-2 nível 3 para armazenar de forma segura as chaves da AC privada. Os administradores da AC privada podem controlar o acesso ao serviço usando políticas do AWS Identity and Access Management (IAM). A AC privada do ACM proporciona visibilidade das atividades de certificados privados e permite criar relatórios. Você pode auditar as atividades da AC privada usando o serviço de registro em log e monitoramento do AWS CloudTrail. A AC privada do ACM também publica e atualiza automaticamente Certificate Revocation Lists (CRLs – Listas de revogação de certificados) no Amazon S3 para ajudar a evitar o uso de certificados revogados. Por exemplo, um aplicativo de IoT pode verificar se o certificado privado de um sensor é válido antes de aceitar dados desse sensor.

Gerencie certificados de forma centralizada

A AC privada do ACM permite gerenciar o ciclo de vida de certificados públicos e privados. Com a AC privada do ACM, você pode optar por delegar ao ACM o gerenciamento de certificados usados por serviços integrados ao ACM, como o Elastic Load Balancing e o API Gateway. Você pode criar e implantar facilmente certificados privados usando o Console de Gerenciamento da AWS ou as APIs da AWS. O ACM pode automatizar a renovação e a implantação desses certificados. Além disso, a AC privada do ACM oferece APIs para automatizar a criação e a renovação de certificados privados para recursos locais, instâncias do EC2 e dispositivos da IoT. A AC privada do ACM oferece a flexibilidade de gerenciar você mesmo certificados privados, sem o gerenciamento de certificados do ACM.

Ofereça agilidade aos desenvolvedores

A AC privada do ACM proporciona a agilidade de criar e implantar certificados com apenas algumas chamadas de API. Com a AC privada do ACM, você pode delegar o gerenciamento de certificados privados para os desenvolvedores, permitindo que eles solicitem certificados das ACs privadas vinculadas a suas contas da AWS. Além disso, é possível automatizar a criação de certificados para casos de uso que exigem um grande volume de certificados de vida útil curta. Por exemplo, você pode criar e implantar automaticamente certificados para identificar novas instâncias e contêineres do EC2 em ambientes de escalabilidade automática ou para autenticar mensagens de notificação de eventos enviadas de funções do AWS Lambda.

Flexibilidade para personalizar certificados privados

A AC privada do ACM pode ser usada como serviço autônomo, sem o gerenciamento de certificados do ACM, para criar e implantar certificados privados personalizados, como certificados com nomes de recurso ou tempos de vida personalizados. Essa flexibilidade é útil em casos de uso que precisam identificar recursos por um nome específico. Por exemplo, para identificar um dispositivo por número de série ou quando não é fácil alternar certificados, como certificados incorporados em dispositivos de hardware durante o processo de fabricação.

Definição de preço com pagamento conforme o uso

A AC privada do ACM é mais econômica que as opções tradicionais disponíveis comercialmente. Com a AC privada do ACM, você pode pagar mensalmente pelo serviço e pelos certificados criados e implantados. Você paga menos à medida que usa mais certificados. Saiba mais sobre a definição de preço aqui.

Recursos

Autoridade de certificados gerenciada pela AWS

A AC privada do ACM é um serviço gerenciado que automatiza tarefas administrativas demoradas, como provisionamento de hardware, aplicação de patches de software, alta disponibilidade e backups. A AC privada do ACM oferece segurança, configuração, gerenciamento e monitoramento de uma AC privada altamente disponível. Com a AC privada do ACM, você pode optar entre vários algoritmos e tamanhos de chaves de AC, incluindo RSA 2048 ou 4096 e ECDSA P256 ou P384. A AC privada do ACM opera como uma AC subordinada “encadeada” a uma AC raiz existente. Assim, é possível emitir certificados confiáveis dentro da organização. Você precisa ter a sua própria AC raiz para usar esse serviço.

Gerenciamento do ciclo de vida dos certificados

A AC privada do ACM é integrada ao ACM para permitir que você gerencie certificados públicos e privados em uma única interface no console. Quando você usa o ACM para solicitar certificados da AC privada, o ACM gera e gerencia as chaves privadas, renova automaticamente os certificados e implanta os certificados em recursos de serviços integrados ao ACM, incluindo load balancers do Elastic Load Balancing e endpoints do API Gateway. Além disso, o ACM facilita a exportação e a implantação de certificados privados em qualquer lugar usando automação baseada em API.

Auditoria e registro em log

A AC privada do ACM oferece a você e aos auditores visibilidade das atividades das ACs privadas. Você pode criar relatórios de auditoria que incluem o status de todos os certificados emitidos pela AC. A AC privada do ACM é integrada ao AWS CloudTrail. O CloudTrail captura chamadas de API do console da AC privada do ACM, da ILC ou de código e entrega os arquivos de log a um bucket do S3. Você pode usar as informações coletadas pelo CloudTrail para determinar a solicitação efetuada, o endereço IP de onde ela foi enviada, quando ela foi efetuada e assim por diante.

Armazenamento de chaves seguro baseado em HSM para chaves de AC

As chaves usadas por uma autoridade de certificados para assinar certificados são altamente confidenciais. A AC privada do ACM protege as chaves da AC com módulos de segurança de hardware (também conhecidos como HSMs) gerenciados pela AWS. Esses HSMs cumprem os padrões de segurança FIPS 140-2 nível 3 para ajudar a proteger a AC privada contra comprometimentos da chave.

Integração ao IAM

Você pode controlar o acesso ao serviço de AC privada com políticas do AWS IAM. Por exemplo, é possível criar uma política para conceder acesso completo para criação e configuração de ACs privadas a administradores de TI que são responsáveis pelo gerenciamento de ACs, e conceder acesso limitado para emissão e revogação de certificados a desenvolvedores e usuários.

Geração de lista de revogação de certificados (CRL)

A AC privada do ACM publica e atualiza automaticamente Certificate Revocation Lists (CRLs – Listas de revogação de certificados) em um bucket do Amazon S3. Aplicativos, serviços e dispositivos usam CRLs para avaliar o status de um certificado a cada vez que uma conexão é feita entre dois recursos. Por exemplo, um aplicativo de IoT pode verificar se o certificado privado de um sensor é válido antes de aceitar dados desse sensor.

Automação baseada em APIs

Você pode escrever código para automatizar o gerenciamento de certificados na sua linguagem de programação preferida usando a AC privada e as APIs do ACM. Os SDKs da AWS facilitam a autenticação e são integrados com eficiência ao ambiente de desenvolvimento. Você também pode escrever scripts ou comandos para uso único usando ferramentas da linha de comando para interagir com o serviço.

Personalização

A AC privada do ACM pode ser usada como um serviço autônomo para emitir certificados diretamente, sem usar o ACM para gerenciamento de certificados e chaves privadas. Usado dessa forma, o serviço permite criar certificados com qualquer nome de assunto desejado; com qualquer algoritmo de chave, tamanho de chave e algoritmo de assinatura compatível; e qualquer período de validade, incluindo dias, meses ou anos a partir da data atual ou uma data final específica.

Casos de uso

Ajudar a cumprir requisitos de conformidade

Ao facilitar a ativação de SSL/TLS, o AWS Certificate Manager pode ajudar sua organização a cumprir requisitos de regulamentação e conformidade para criptografia de dados em trânsito. Para obter informações específicas sobre conformidade, consulte o site de conformidade da Nuvem AWS.

Maior tempo de disponibilidade

O AWS Certificate Manager ajuda a gerenciar os desafios de manter certificados SSL/TLS, incluindo renovações de certificados, para que você não precise se preocupar com expiração de certificados.

icon1

Configurar e fazer login na sua conta da AWS

Com o AWS Certificate Manager, você pode configurar e começar a criar certificados em poucos minutos.

Saiba mais sobre a definição de preço da autoridade de certificados privada do AWS Certificate Manager

Acesse a página de definição de preço