implantação de referência

Infraestrutura de Chave Pública da Microsoft na AWS

Reduza o tráfego de rede inseguro e não assinado

Visualize o guia de implantação

Uma infraestrutura de chave pública (PKI) cria, gerencia, distribui, armazena e revoga certificados digitais. Os ambientes Windows usam certificados digitais para proteger vários tipos de conexões. Os tipos de conexão incluem pesquisas do Microsoft Acitve Directory LDAPS (Lightweight Directory Acess Protocol over Secure Sockets Layer), Serviços de Informações da Internet (IIS), conexões HTTPS, comunicações do Exchange Server e Windows Server Update Services (WSUS).

Com uma PKI hospedada no Windows em uma conta do Amazon Web Services (AWS), você pode manter seus próprios certificados. Esse recurso ajuda a reduzir tráfego de rede inseguro e não assinado. Para implantar um ambiente de PKI no Windows, você deve instalar e configurar funções de autoridade de certificação (CA) em um ou mais servidores do Windows.

Esta solução da PKI da Microsoft implanta uma CA raiz e uma subordinada. A CA raiz atua como uma autoridade de certificação principal para uma floresta do Active Directory. Os certificados gerados pela CA raiz assinam o servidor e os certificados de aplicação emitidos pela CA subordinada. A solução automaticamente gera um certificado raiz inicial e desativa a instância do Amazon Elastic Compute Cloud (Amazon EC2) da CA raiz. Essa instância fica offline, exceto quando um novo certificado raiz precisa ser gerado, ajudando assim a garantir a integridade do certificado raiz.

Esta solução foi desenvolvida pela AWS.

  •  O que você criará

  • Essa solução configura o seguinte:

    • Uma arquitetura que abrange duas zonas de disponibilidade.*
    • Uma Virtual Private Cloud (VPC) configurada com sub-redes públicas e privadas de acordo com as práticas recomendadas da AWS para provisionar sua própria rede virtual na AWS.*
    • Nas sub-redes públicas:
      • Gateways gerenciados de Network Address Translation (NAT - Conversão de endereço de rede) para permitir o acesso de saída à Internet para recursos nas sub-redes privadas.*
      • Uma instância de gateway de desktop remoto em um grupo de Auto Scaling para permitir o acesso do protocolo RDP a instâncias do EC2 em sub-redes públicas e privadas.*
    • Nas sub-redes privadas:
      • Na zona de disponibilidade 1, uma instância do EC2 que executa o Windows para servir como uma CA raiz offline.
      • Na zona de disponibilidade 2, uma instância do EC2 que executa o Windows para servir como uma CA subordinada.
    • AWS Directory Service, que ajuda a implantar um ambiente do Active Directory Certificate Services (AD CS).*
    • AWS Secrets Manager para armazenar credenciais.
    • AWS Systems Manager para automatizar o processo de implantação de CA e armazenar os certificados gerados.
    • AWS Identity and Access Management (IAM) para permitir que as instâncias do EC2 e os documentos de automação do Systems Manager executem suas tarefas.

    * O modelo que implanta a solução em uma VPC existente ignora os componentes marcados com asteriscos e solicita a configuração dessa VPC existente.

  •  Como implantar

  • Para implantar a KPI da Microsoft, siga as instruções do guia de implantação. O processo de implantação requer aproximadamente 30 minutos e inclui as seguintes etapas:

    1. Caso ainda não tenha uma conta da AWS, cadastre-se em https://aws.amazon.com e acesse sua conta.
    2. Execute a solução. Você pode escolher entre duas opções:
    3. Teste a implantação.

    A Amazon pode compartilhar informações sobre implantações de usuários com o parceiro da AWS que colaborou com a AWS nesta solução.  

    Consulte o guia de implantação para obter detalhes
  •  Custos e licenças

  • Você é responsável pelo custo dos serviços da AWS usados durante esta implantação de referência da solução. Não há custo adicional para o uso dessa solução.

    Os modelos do AWS CloudFormation para esta solução incluem parâmetros de configuração personalizáveis. Algumas dessas configurações, como o tipo de instância, afetam os custos de implantação. Para obter estimativas de custo, consulte as páginas de preço de cada produto da AWS que você utiliza. Os preços estão sujeitos a alterações.

    Esta solução implanta instâncias do EC2 que executam o Microsoft Windows Server. As licenças do Windows Server são fornecidas pela AWS.

    Você é responsável pelo custo dos serviços da AWS e de licenças de terceiros usadas durante a execução da solução. Não há custo adicional para usar a solução.

    Esta solução inclui parâmetros de configuração personalizáveis. Algumas dessas configurações, como o tipo de instância, afetam os custos de implantação. Para obter estimativas de custo, consulte as páginas de preço de cada produto da AWS que você utiliza. Os preços estão sujeitos a alterações.

    Dica: após a implantação da solução, crie  Relatórios de custos e uso da AWS para monitorar os custos associados. Esses relatórios fornecem métricas de faturamento para um bucket do Amazon Simple Storage Service (Amazon S3) em sua conta. Fornecem estimativas de custos com base no uso ao longo de cada mês e agregam os dados no fim do mês. Para obter mais informações, consulte  What are AWS Cost and Usage Reports? (O que são os Relatórios de Custos e Uso da AWS?).