Частный центр сертификации (ЦС) AWS Certificate Manager (ACM) – это управляемый сервис частного центра сертификации, позволяющий просто и надежно управлять жизненным циклом частных сертификатов. Частный ЦС ACM обеспечивает сервис частного центра сертификации с высокой доступностью без предварительных инвестиций и текущих расходов на обслуживание, неизбежных при эксплуатации собственного частного центра сертификации. Частный ЦС ACM расширяет возможности управления сертификатами ACM для охвата частных сертификатов и позволяет централизованно управлять публичными и частными сертификатами. Частный ЦС ACM обеспечивает разработчикам дополнительную гибкость, позволяя создавать и развертывать частные сертификаты программными средствами с помощью API. Дополнительно предоставляется возможность создавать частные сертификаты для приложений, требующих специальных настроек жизненного цикла сертификата или имен ресурсов. Частный ЦС ACM является безопасным управляемым сервисом частного ЦС с оплатой по факту использования. С его помощью можно создавать частные сертификаты для подключенных ресурсов и управлять ими.

AWS Summit‑2018 в Сан‑Франциско. Частный центр сертификации AWS Certificate Manager

Преимущества

Безопасный управляемый частный центр сертификации

Частный ЦС ACM предоставляет простой и безопасный способ создания частного центра сертификации и его использования для выпуска частных сертификатов и управления ими. Защита частного ЦС ACM обеспечивается управляемыми AWS аппаратными модулями безопасности (HSM). Эти модули HSM соответствуют стандартам безопасности FIPS 140‑2 Level 3 и обеспечивают безопасное хранение ключей частного ЦС. Администраторы частного ЦС могут управлять доступом к сервису с помощью политик AWS Identity and Access Management (IAM). Частный ЦС ACM обеспечивает наглядное представление всех операций, связанных с частными сертификатами, и позволяет создавать отчеты. Аудит использования частного ЦС можно проводить с помощью сервиса для ведения журналов и мониторинга AWS CloudTrail. Частный ЦС ACM также автоматически публикует и обновляет списки отозванных сертификатов (CRL) в Amazon S3, чтобы предотвратить использование отозванных сертификатов. К примеру, приложение IoT, прежде чем принимать данные от того или иного датчика, может проверить, действителен ли частный сертификат этого датчика.

Централизованное управление сертификатами

Частный ЦС ACM позволяет управлять жизненным циклом частных и публичных сертификатов. С помощью частного ЦС ACM можно делегировать ACM управление сертификатами, которые используются в интегрированных с ACM сервисах, таких как Elastic Load Balancing и API Gateway. Создавать и развертывать частные сертификаты можно с помощью простых действий в Консоли управления AWS или вызовов API AWS. ACM может автоматизировать обновление и развертывание таких сертификатов. Частный ЦС ACM также предоставляет API, с помощью которых можно автоматизировать создание и обновление частных сертификатов для локальных ресурсов, инстансов EC2 и устройств IoT. Частный ЦС ACM обеспечивает гибкость самостоятельного управления частными сертификатами без использования возможностей сервиса ACM.

Гибкие возможности для разработки

Частный ЦС ACM дает возможность быстро создавать и развертывать сертификаты несколькими вызовами API. В частном ЦС ACM можно делегировать управление частными сертификатами разработчикам, позволяя им запрашивать сертификаты у частных ЦС, связанных с соответствующими аккаунтами AWS. Сервис также позволяет автоматизировать создание сертификатов в случаях, когда требуется много краткосрочных сертификатов. Например, можно автоматически создавать и развертывать сертификаты для идентификации новых инстансов EC2 и контейнеров в средах с автомасштабированием или для аутентификации оповещений о событиях, отправленных из функций AWS Lambda.

Гибкость настройки частных сертификатов

Частный ЦС ACM можно использовать как автономный сервис (без управления сертификатами со стороны ACM) для создания и развертывания настраиваемых частных сертификатов, таких как сертификаты со специальными именами ресурсов или сроками действия. Такая гибкость полезна в тех случаях, когда требуется идентификация ресурсов по определенному имени, например при идентификации устройства по его серийному номеру, или когда ротация сертификатов затруднена, например для сертификатов, встроенных в аппаратные устройства при производстве.

Оплата по факту использования

По сравнению с традиционными коммерческими решениями, доступными на рынке, частный ЦС ACM более экономичен. При использовании частного ЦС ACM оплату сервиса и сертификатов, которые создает и развертывает клиент, можно выполнять на ежемесячной основе. При использовании большего количества сертификатов тарифы уменьшаются. Дополнительную информацию о ценах на сервис см. по ссылке.

Возможности

Центр сертификации, управляемый AWS

Частный ЦС ACM – это управляемый сервис, который автоматизирует трудоемкие административные задачи, такие как выделение оборудования, исправление программного обеспечения, обеспечение высокой доступности и резервное копирование. Частный ЦС ACM обеспечивает безопасность, настройку и мониторинг высокодоступного частного ЦС, а также управление им. В частном ЦС ACM есть возможность выбора из нескольких алгоритмов формирования ключей ЦС и размеров ключей, включая RSA 2048 или 4096 и ECDSA P256 или P384. Частный ЦС ACM работает как подчиненный ЦС, который можно легко объединить с существующим корневым ЦС клиента и выдавать доверенные сертификаты в пределах организации клиента. Для использования такого варианта клиенту необходимо иметь собственный корневой ЦС.

Управление жизненным циклом сертификатов

Частный ЦС ACM интегрирован с ACM, что позволяет управлять как публичными, так и частными сертификатами из единого интерфейса консоли. При использовании ACM для запроса сертификатов из частного ЦС ACM генерирует закрытые ключи и управляет ими, автоматически обновляет сертификаты и развертывает сертификаты для ресурсов в сервисах, интегрированных с ACM, включая балансировщики нагрузки Elastic Load Balancing и адреса API Gateway. ACM также упрощает экспорт и развертывание частных сертификатов в любом месте с использованием автоматизации на основе API.

Аудит и ведение журналов

Частный ЦС ACM обеспечивает клиенту и его аудиторам наглядное представление всех операций, связанных с частными ЦС. В целях аудита можно создавать отчеты, которые включают статус всех сертификатов, выпущенных ЦС. Частный ЦС ACM интегрирован с AWS CloudTrail. CloudTrail фиксирует вызовы API, выполненные в консоли частного ЦС ACM, интерфейсе командной строки или программном коде, и сохраняет файлы журналов в соответствующую корзину S3. Используя информацию, собранную AWS CloudTrail, можно определить, какой был сделан запрос, IP‑адрес, с которого пришел запрос, когда он был сделан и т. д.

Безопасное хранилище ключей ЦС на базе аппаратных модулей HSM

Ключи, используемые центром сертификации для подписи сертификатов, строго конфиденциальны. Частный ЦС ACM обеспечивает безопасность ключей ЦС с помощью управляемых AWS аппаратных модулей безопасности, также известных как HSM. Эти модули HSM соответствуют стандартам безопасности FIPS 140‑2 Level 3, что помогает защитить частный ЦС клиента от компрометации ключей.

Интеграция с IAM

Управлять доступом к сервису частного ЦС можно с помощью политик AWS IAM. Например, можно создать политику и предоставить ИТ‑администраторам, которые отвечают за управление ЦС, полный доступ для создания и настройки частных ЦС, а разработчикам и пользователям, которым необходимо только выдавать и отзывать сертификаты, предоставить ограниченный доступ.

Генерация списка отозванных сертификатов (CRL)

Частный ЦС ACM автоматически публикует и обновляет списки отозванных сертификатов (CRL) в корзине Amazon S3 соответствующего аккаунта. Приложения, сервисы и устройства используют CRL для оценки состояния сертификата при каждом взаимодействии между ресурсами. К примеру, приложение IoT, прежде чем принимать данные от того или иного датчика, может проверить, действителен ли частный сертификат этого датчика.

Автоматизация на основе API

Для автоматизации управления сертификатами можно написать код на удобном языке программирования с использованием API частного ЦС и сервиса ACM. Пакеты SDK AWS упрощают аутентификацию и эффективно интегрируются с используемой средой разработки. Можно также создавать скрипты или простые команды для взаимодействия с сервисом с помощью инструментов командной строки.

Настройка

Частный ЦС ACM можно использовать как отдельный сервис для непосредственной выдачи сертификатов, без использования ACM для управления сертификатами и частными ключами. В этом случае можно создавать сертификаты с любым желаемым именем, использовать любые поддерживаемые алгоритмы формирования ключей, размеры ключей, алгоритмы подписи и любые сроки действия, включая дни, месяцы или годы с времени выдачи, а также задавать конкретную дату окончания срока действия.

Примеры использования

Помощь в соответствии требованиям

Упрощая использование SSL/TLS, AWS Certificate Manager помогает организациям обеспечить соответствие нормативным требованиям и другим стандартам в отношении шифрования данных при передаче. Подробную информацию о соответствии требованиям см. в разделе Соответствие облака AWS нормативным требованиям.

Увеличение времени безотказной работы

AWS Certificate Manager помогает справиться с проблемами обслуживания сертификатов SSL/TLS, в том числе с обновлением сертификатов. Беспокоиться о просроченных сертификатах больше не придется.

Цены на частный центр сертификации AWS Certificate Manager

Перейти на страницу цен
Готовы приступить к разработке?
Начните работу с AWS Certificate Manager
Возникли дополнительные вопросы?
Свяжитесь с нами