A AC Privada do ACM oferece um serviço de AC privada altamente disponível, sem o investimento adiantado e os custos de manutenção contínua da operação de uma AC privada própria. Autoridade de certificados (AC) privada do AWS Certificate Manager (ACM) é um serviço de AC privada que amplia as capacidades de gerenciamento de certificados do ACM para certificados públicos e privados.  A AC privada do ACM aumenta a agilidade dos desenvolvedores, oferecendo APIs para criar e implantar programaticamente certificados privados. Você também tem a flexibilidade de criar certificados privados para aplicativos que exigem a personalização de tempos de vida ou de nomes de recursos de certificados. A AC privada do ACM é um serviço gerenciado seguro de AC privada, com pagamento conforme o uso, que você pode usar para criar e gerenciar em um único local certificados privados para recursos conectados.

Os administradores de AC podem usar a AC privada do ACM para criar uma hierarquia completa de AC, incluindo ACs raiz e subordinadas on-line, sem a necessidade de ACs externas. A AC privada do ACM também permite uma hierarquia híbrida com ACs off-line e on-line. A hierarquia de AC fornece fortes controles de segurança e acesso restrito para a AC raiz mais confiável no topo da cadeia de confiança, ao mesmo tempo que permite acesso mais permissivo e a emissão em massa de certificados para ACs subordinadas em um nível inferior da cadeia. Você pode criar ACs seguras e altamente disponíveis sem precisar criar e manter sua própria infraestrutura de AC local. É possível compartilhar uma AC nas contas da AWS ou na sua organização para permitir o gerenciamento central de suas ACs com emissão de certificado via ACM ou diretamente da AC. Isso reduz o número de ACs que você precisa gerenciar e pagar, e permite separar as tarefas de administração de AC da emissão de certificados.

 

Conferência da AWS 2018 em São Francisco: Autoridade de certificados privada do AWS Certificate Manager

Benefícios

Autoridade de certificados privada, segura e gerenciada

A AC privada do ACM oferece uma forma mais fácil e segura de criar uma AC privada e usá-la para criar e gerenciar certificados privados. A AC privada do ACM é protegida por módulos de segurança de hardware (HSMs) gerenciados pela AWS. Esses HSMs cumprem os padrões de segurança FIPS 140-2 para armazenar de forma segura as chaves da AC privada. Os administradores da AC privada podem controlar o acesso ao serviço usando políticas do AWS Identity and Access Management (IAM). Você pode compartilhar uma AC usando o AWS Resource Access Manager (RAM) apenas para a emissão de certificados, mantendo a administração da AC restrita aos administradores. A AC privada do ACM proporciona visibilidade das atividades de certificados privados e permite criar relatórios. Você pode auditar as atividades da AC privada usando o serviço de registro em log e monitoramento do AWS CloudTrail. A AC privada do ACM também publica e atualiza automaticamente Certificate Revocation Lists (CRLs – Listas de revogação de certificados) no Amazon S3 para ajudar a evitar o uso de certificados revogados. Por exemplo, uma aplicação de IoT pode verificar se o certificado privado de um sensor é válido antes de aceitar dados desse sensor.

Gerenciar autoridades de certificação centralmente

As ACs privadas de ACM podem ser criadas e gerenciadas em uma conta e depois compartilhadas com outras contas AWS que precisam emitir certificados. Por meio do AWS Resource Access Manager, um serviço da AWS que permite compartilhar recursos da AWS com qualquer conta da AWS ou dentro de sua organização AWS, os clientes podem definir compartilhamentos de recursos contendo ACs para compartilhar com um conjunto de contas ou organizações. O relatório de auditoria de AC fornece detalhes de todos os certificados emitidos por essa AC. Cada conta com a qual uma AC é compartilhada pode usar o AWS Certificate Manager para criar e emitir certificados ou chamar a AC diretamente para assinar solicitações de assinatura de certificado (CSRs).

Hierarquias de AC completas

A AC privada do ACM permite que os administradores de AC criem uma hierarquia flexível de AC, incluindo ACs raiz e subordinadas on-line, sem a necessidade de ACs externas. Os clientes podem criar ACs seguras e altamente disponíveis em qualquer região da AWS em que a AC privada do ACM está disponível sem desenvolver e manter sua própria infraestrutura de AC local. Como alternativa, as hierarquias de AC podem ser criadas em um modo híbrido, combinando ACs on-line e locais. Além de um simples gerenciamento, a AC privada do ACM proporciona uma segurança essencial para operar uma AC de acordo com as regras de conformidade internas dos clientes e com as melhores práticas de segurança.

Permite agilidade aos desenvolvedores

A AC privada do ACM proporciona a agilidade de criar e implantar certificados com apenas algumas chamadas de API, comandos CLI ou por meio de modelos do AWS CloudFormation. A AC privada do ACM permite aos administradores delegarem a emissão de certificados privados para os desenvolvedores, permitindo que eles solicitem certificados das ACs privadas compartilhadas com suas contas da AWS. Além disso, é possível automatizar a criação de certificados para casos de uso que exigem um grande volume de certificados de vida útil curta. Por exemplo, você pode criar e implantar automaticamente certificados para identificar novas instâncias e contêineres do EC2 em ambientes de escalabilidade automática ou para autenticar mensagens de notificação de eventos enviadas de funções do AWS Lambda.

Flexibilidade para personalizar certificados privados

A AC privada do ACM pode ser usada como serviço autônomo, sem o gerenciamento de certificados do ACM, para criar e implantar certificados privados personalizados, como certificados com nomes de recurso ou tempos de vida personalizados. Essa flexibilidade é útil em casos de uso que precisam identificar recursos por um nome específico. Por exemplo, para identificar um dispositivo por número de série ou quando não é fácil alternar certificados, como certificados incorporados em dispositivos de hardware durante o processo de fabricação.

Definição de preço com pagamento conforme o uso

A AC privada do ACM é mais econômica que as opções tradicionais disponíveis comercialmente. Com a AC privada do ACM, você pode pagar mensalmente pelo serviço e pelos certificados criados e implantados. Você paga menos à medida que usa mais certificados. Saiba mais sobre a definição de preço aqui.

Recursos

Autoridade de certificados gerenciada pela AWS

A AC privada do ACM é um serviço gerenciado que automatiza tarefas administrativas demoradas, como provisionamento de hardware, aplicação de patches de software, alta disponibilidade e backups. A AC privada do ACM oferece segurança, configuração, gerenciamento e monitoramento de uma AC privada altamente disponível. Com a AC privada do ACM, você pode optar entre vários algoritmos e tamanhos de chaves de AC, incluindo RSA 2048 ou 4096 e ECDSA P256 ou P384. Além disso, o ACM facilita a exportação e a implantação de certificados privados em qualquer lugar usando automação baseada em API.

Gerenciamento do ciclo de vida dos certificados integrados

Com a AC privada do ACM, você pode optar por delegar ao ACM o gerenciamento de certificados usados por serviços integrados ao ACM, como o Elastic Load Balancing e o API Gateway. Você pode criar e implantar facilmente certificados privados usando o Console de Gerenciamento da AWS ou as APIs da AWS. O ACM pode automatizar a renovação e a implantação desses certificados. Além disso, a AC privada do ACM oferece APIs para automatizar a criação e a renovação de certificados privados para recursos locais, instâncias do EC2 e dispositivos da IoT. A AC privada do ACM oferece a flexibilidade de gerenciar você mesmo certificados privados, sem o gerenciamento de certificados do ACM.

AC raiz segura e gerenciamento de hierarquias de AC

A hierarquia de AC privada do ACM fornece fortes controles de segurança e acesso restrito para a AC raiz mais confiável no topo da cadeia de confiança, ao mesmo tempo que permite acesso mais permissivo e a emissão em massa de certificados para ACs subordinadas em um nível inferior da cadeia. Você pode controlar quem cria uma nova AC ou restringir acesso a ACs existentes usando políticas de AWS Identity and Access Management (IAM). Todas as ACs privadas do ACM em uma hierarquia protegem suas chaves privadas em hardware do FIPS 140-2.

Armazenamento de chaves seguro baseado em HSM para chaves de AC

As chaves usadas por uma autoridade de certificados para assinar certificados são altamente confidenciais. A AC privada do ACM protege as chaves da AC com módulos de segurança de hardware gerenciados pela AWS, também conhecidos como HSMs. Esses HSMs cumprem os padrões de segurança FIPS 140-2 para ajudar a proteger a AC privada contra comprometimentos da chave. Os detalhe sobre hardware de FIPS 140-2 podem ser encontrados na documentação da AC privada.

Integração ao IAM

Você pode controlar o acesso ao serviço de AC privada com políticas do AWS IAM. Por exemplo, é possível criar uma política para conceder acesso completo para criação e configuração de ACs privadas a administradores de TI que são responsáveis pelo gerenciamento de ACs e conceder acesso limitado para emissão e revogação de certificados a desenvolvedores e usuários.

Revogação de certificados com CRL e OCSP

Quando se estabelece uma conexão TLS criptografada, uma infraestrutura de revogação informa ao endpoint que o certificado não é confiável. Clientes de AC privada podem escolher entre protocolo de status de certificado online (OCSP), listas de revogação de certificados (CRLs) ou ambos para distribuir informações de revogação para seus certificados privados.

Compartilhamento de ACs entre contas

O compartilhamento de ACs em sua organização ou entre contas da AWS evita o custo e a complexidade de criar e gerenciar ACs duplicadas em todas as suas contas da AWS. É possível criar compartilhamentos de recursos por meio do AWS Resource Access Manager (RAM) que inclui ACs privadas de ACM e está associado a um conjunto de contas ou AWS Organizations. Isso permite que as contas incluídas emitam certificados privados da AC compartilhada. Ao usar o AWS Certificate Manager para emitir certificados privados de uma AC compartilhada, o certificado é gerado localmente na conta solicitante e o ACM fornece gerenciamento e renovação do ciclo de vida completo.

Personalização

A AC privada do ACM pode ser usada como um serviço autônomo para emitir certificados diretamente, sem usar o ACM para gerenciamento de certificados e chaves privadas. Quando usado dessa maneira, você pode criar certificados com qualquer nome de assunto desejado, com qualquer um dos algoritmos de chave suportados, tamanhos de chave, algoritmos de assinatura e qualquer período de validade, incluindo dias, meses ou anos a partir do horário atual ou um específico data final.

Auditoria e registro em log

A AC privada do ACM oferece a você e aos auditores visibilidade das atividades das ACs privadas. Você pode criar relatórios de auditoria que incluem o status de todos os certificados emitidos pela AC. A AC privada do ACM é integrada ao AWS CloudTrail. O CloudTrail captura chamadas de API do console da AC privada do ACM, da ILC ou de código e entrega os arquivos de log a um bucket do S3. Você pode usar as informações coletadas pelo CloudTrail para determinar a solicitação efetuada, o endereço IP de onde ela foi enviada, quando ela foi efetuada e assim por diante.

Automação baseada em APIs

Você pode escrever código para automatizar o gerenciamento de certificados na sua linguagem de programação preferida usando a AC privada e as APIs do ACM. Os SDKs da AWS facilitam a autenticação e são integrados com eficiência ao ambiente de desenvolvimento. Você também pode escrever scripts ou comandos para uso único usando ferramentas da linha de comando para interagir com o serviço.

Ajudar a cumprir requisitos de compatibilidade

Ao facilitar a ativação de SSL/TLS, o AWS Certificate Manager pode ajudar sua organização a cumprir requisitos de regulamentação e conformidade para criptografia de dados em trânsito. Para obter informações específicas sobre conformidade, consulte o site de conformidade da Nuvem AWS.

Maior tempo de disponibilidade

O AWS Certificate Manager ajuda a gerenciar os desafios de manter certificados SSL/TLS, incluindo renovações de certificados, para que você não precise se preocupar com a expiração de certificados.

ArcticWolfNetworksLogo
Blacksky
A Arctic Wolf Networks (AWN) é uma fornecedora líder de serviços de SOC, líder de mercado que oferece monitoramento e detecção de ameaças gerenciados 24x7 e resposta para infraestrutura e aplicação no local e na nuvem. Usamos a Autoridade de certificação (CA) privada do ACM para emitir certificados para garantir conexões seguras de nossos sensores à nossa plataforma Security Operations Center criada para uso específico, que é executada na AWS. ACM Private CA nos fornece uma CA segura e gerenciada que podemos integrar em nossa infraestrutura usando APIs conhecidas da AWS.

Michael Hart, diretor de engenharia de infraestrutura - Artic Wolf

Casos de uso

TLS for AWS Services

Com o AWS Certificate Manager, você pode solicitar rapidamente um certificado, implantá-lo em recursos da AWS integrados ao ACM, como balanceadores de carga elásticos, distribuições do Amazon CloudFront e APIs no Amazon API Gateway, e deixar que o AWS Certificate Manager administre as renovações desses certificados. Os certificados privados são usados para identificar e proteger a comunicação entre recursos conectados em redes privadas como servidores, aplicações e dispositivos móveis e da IoT.

O ACM oferece suporte à solicitação de certificados no AWS Private CA e gerencia o ciclo de vida dos certificados para seus certificados privados, associando-os aos recursos da AWS e exportando-os para uso fora da AWS. Para saber mais, consulte o Guia de conceitos básicos do AWS Certificate Manager.

TLS for Kubernetes

Contêineres e aplicações Kubernetes usam certificados digitais para fornecer autenticação e criptografia seguras via TLS. O cert-manager é um complemento ao Kubernetes para fornecer gerenciamento de certificados TLS. Ele solicita certificados, os distribui para contêineres Kubernetes e automatiza a renovação do certificado. O cert-manager garante que os certificados sejam válidos e estejam atualizados e tenta renovar certificados em um momento apropriado antes do vencimento.

O AWS Private CA oferece suporte a um plugin de código aberto para o cert-manager que oferece uma solução de autoridade de certificado mais segura para contêineres Kubernetes. Os clientes que usam o cert-manager para gerenciamento do ciclo de vida do certificado da aplicação agora podem usar essa solução para melhorar a segurança em relação à CA padrão do cert-manager, que armazena chaves em texto simples na memória do servidor. Clientes com requisitos normativos para controlar o acesso e a auditoria de suas operações de CA podem usar essa solução para melhorar a auditabilidade e dar suporte à compatibilidade. Você pode usar o plugin AWS Private CA Issuer com o Amazon Elastic Kubernetes Service, Kubernetes autogerenciados na AWS e Kubernetes on-premises. Para saber mais, consulte a documentação do Private CA para configuração com Kubernetes. 

Standard Product Icons (Features) Squid Ink
Saiba como começar a usar

Conceitos básicos do AWS Certificate Manager

Saiba mais 
Sign up for a free account
Cadastrar-se para ter uma conta gratuita

Obtenha acesso instantâneo ao nível gratuito da AWS.

Cadastre-se 
Standard Product Icons (Start Building) Squid Ink
Comece a criar no console

Comece a criar com o AWS Certificate Manager no Console AWS.

Fazer login