ACM Private CA – это сервис для создания частного центра сертификации с высокой доступностью, не требующий предварительных инвестиций и текущих расходов на обслуживание при эксплуатации. AWS Certificate Manager (ACM) Private Certificate Authority (CA) – это сервис для создания частного ЦС, который предоставляет расширенные возможности ACM в сфере управления как публичными, так и частными сертификатами.  ACM Private CA обеспечивает повышенную гибкость для разработчиков, предоставляя API для создания и развертывания частных сертификатов программными средствами. Дополнительно предоставляется возможность создавать частные сертификаты для приложений, требующих специальных настроек жизненного цикла сертификата или имен ресурсов. Частный ЦС ACM является безопасным управляемым сервисом частного ЦС с оплатой по факту использования. С его помощью можно создавать частные сертификаты для подключенных ресурсов и управлять ими.

Администраторы ЦС могут использовать частный ЦС ACM для создания полной иерархии ЦС, в том числе корневых ЦС в сети и подчиненных ЦС, без необходимости использовать внешние ЦС. Кроме того, в частном ЦС ACM можно создать гибридную иерархию с ЦС, находящимися вне сети и в сети. Иерархия ЦС обеспечивает высокую безопасность и возможность ограничения доступа для наиболее доверенных корневых ЦС на верхнем уровне цепи доверия, при этом условия доступа и массового выпуска сертификатов менее строгие для подчиненных ЦС на нижних уровнях цепи. Вы можете создавать защищенные ЦС с высокой доступностью без необходимости в разработке и обслуживании собственной локальной инфраструктуры ЦС. Вы можете предоставить доступ к ЦС разным аккаунтам AWS или всем пользователям в организации, чтобы обеспечить централизованное управление центрами сертификации с выдачей сертификатов через ACM или непосредственно из ЦС. Благодаря этому сокращается количество ЦС, которые нужно контролировать и оплачивать, а также появляется возможность исключить из обязанностей администраторов ЦС выдачу сертификатов.

 

AWS Summit 2018 в Сан‑Франциско – AWS Certificate Manager Private Certificate Authority

Преимущества

Безопасный управляемый частный центр сертификации

Частный ЦС ACM предоставляет простой и безопасный способ создания частного центра сертификации и его использования для выпуска частных сертификатов и управления ими. Защита частного ЦС ACM обеспечивается управляемыми AWS аппаратными модулями безопасности (HSM). Эти модули HSM соответствуют стандартам безопасности FIPS 140‑2 Level 3 и обеспечивают безопасное хранение ключей частного ЦС. Администраторы Private CA могут управлять доступом к сервису с помощью политик AWS Identity and Access Management (IAM). Вы можете предоставить доступ к ЦС с помощью AWS Resource Access Manager (RAM) специально для выдачи сертификатов, поручив администрирование ЦС администраторам. ACM Private CA обеспечивает наглядное представление всех операций, связанных с частными сертификатами, и дает возможность создавать отчеты. Аудит использования частного ЦС можно проводить с помощью сервиса для ведения журналов и мониторинга AWS CloudTrail. Частный ЦС ACM также автоматически публикует и обновляет списки отозванных сертификатов (CRL) в Amazon S3, чтобы предотвратить использование отозванных сертификатов. К примеру, приложение IoT, прежде чем принимать данные от того или иного датчика, может проверить, действителен ли частный сертификат этого датчика.

Централизованное управление центрами сертификации

Вы можете создавать частные ЦС ACM и управлять ими с помощью одного аккаунта, а затем предоставлять доступ к ним другим аккаунтам AWS, которые должны выдавать сертификаты. С помощью AWS Resource Access Manager – сервиса AWS, который дает возможность предоставлять доступ к ресурсам AWS любому аккаунту AWS или всем пользователям в организации AWS, – клиенты могут определять общие хранилища ресурсов, содержащие ЦС, доступ к которым предоставляется определенным наборам аккаунтов или организаций. Отчет об аудите ЦС содержит сведения обо всех сертификатах, выданных из этого ЦС. Каждый аккаунт, которому предоставлен доступ к ЦС, может либо создавать и выдавать сертификаты с помощью AWS Certificate Manager, либо вызывать ЦС напрямую для подписания запросов на подписание сертификатов (CSR).

Полные иерархии ЦС

С помощью ACM Private CA администраторы ЦС могут создать гибкую иерархию ЦС, включающую корневые и подчиненные ЦС. При этом нет необходимости использовать внешние ЦС. Клиенты могут создавать защищенные ЦС высокой надежности в любых регионах AWS, в которых доступны частные ЦС ACM, без построения и поддержания собственной локальной инфраструктуры ЦС. Кроме того, иерархии ЦС можно создавать в гибридном режиме, комбинируя локальные ЦС и ЦС, находящиеся в сети. Помимо простоты управления, частный ЦС ACM обеспечивает базовую безопасность работы ЦС с учетом рекомендаций и внутренних правил соответствия организации клиента.

Гибкие возможности для разработчиков

ACM Private CA дает возможность быстро создавать и развертывать сертификаты с помощью нескольких вызовов API, команд CLI или шаблонов AWS CloudFormation. При использовании ACM Private CA администраторы ЦС могут делегировать выдачу частных сертификатов разработчикам, разрешив им запрашивать сертификаты у частных ЦС, доступных соответствующим аккаунтам AWS. С помощью этого сервиса также можно автоматизировать создание сертификатов в тех случаях, когда требуется много краткосрочных сертификатов. Например, можно автоматически создавать и развертывать сертификаты для идентификации новых инстансов EC2 и контейнеров в средах с автомасштабированием или для аутентификации оповещений о событиях, отправленных из функций AWS Lambda.

Гибкость настройки частных сертификатов

Частный ЦС ACM можно использовать как автономный сервис (без управления сертификатами со стороны ACM) для создания и развертывания настраиваемых частных сертификатов, таких как сертификаты со специальными именами ресурсов или сроками действия. Такая гибкость полезна в тех случаях, когда требуется идентификация ресурсов по определенному имени, например при идентификации устройства по его серийному номеру, или когда ротация сертификатов затруднена, например для сертификатов, встроенных в аппаратные устройства при производстве.

Оплата по факту использования

По сравнению с традиционными коммерческими решениями, доступными на рынке, частный ЦС ACM более экономичен. При использовании частного ЦС ACM оплату сервиса и сертификатов, которые создает и развертывает клиент, можно выполнять на ежемесячной основе. При использовании большего количества сертификатов тарифы уменьшаются. Дополнительную информацию о ценах на сервис см. по ссылке.

Возможности

Центр сертификации, управляемый AWS

Частный ЦС ACM – это управляемый сервис, который автоматизирует трудоемкие административные задачи, такие как выделение оборудования, исправление программного обеспечения, обеспечение высокой доступности и резервное копирование. Частный ЦС ACM обеспечивает безопасность, настройку и мониторинг высокодоступного частного ЦС, а также управление им. В частном ЦС ACM есть возможность выбора из нескольких алгоритмов формирования ключей ЦС и размеров ключей, включая RSA 2048 или 4096 и ECDSA P256 или P384. ACM также упрощает экспорт и развертывание частных сертификатов в любом месте с использованием автоматизации на основе API.

Интегрированные средства управления жизненным циклом сертификатов

С помощью ACM Private CA можно делегировать сервису ACM управление сертификатами, которые используются в интегрированных с ACM сервисах, таких как Elastic Load Balancing и API Gateway. Создавать и развертывать частные сертификаты можно с помощью простых действий в Консоли управления AWS или вызовов API AWS. ACM может автоматизировать обновление и развертывание таких сертификатов. Частный ЦС ACM также предоставляет API, с помощью которых можно автоматизировать создание и обновление частных сертификатов для локальных ресурсов, инстансов EC2 и устройств IoT. Частный ЦС ACM обеспечивает гибкость самостоятельного управления частными сертификатами без использования возможностей сервиса ACM.

Безопасный корневой ЦС и управление иерархией ЦС

Иерархия частных ЦС ACM обеспечивает высокую безопасность и возможность ограничения доступа для наиболее доверенных корневых ЦС на верхнем уровне цепи доверия, в то же время предоставляя больше прав доступа и возможность пакетной выдачи сертификатов подчиненным ЦС на более низких уровнях цепи. Можно контролировать, какие пользователи могут создавать новые ЦС или ограничивать доступ к существующим ЦС с помощью политик AWS Identity and Access Management (IAM). Все частные ЦС ACM в иерархии обеспечивают защиту закрытых ключей ЦС в соответствии со стандартом FIPS 140-2 Level 3 для оборудования.

Безопасное хранилище ключей ЦС на базе аппаратных модулей HSM

Ключи, используемые центром сертификации для подписи сертификатов, строго конфиденциальны. Частный ЦС ACM обеспечивает безопасность ключей ЦС с помощью управляемых AWS аппаратных модулей безопасности, также известных как HSM. Эти модули HSM соответствуют стандартам безопасности FIPS 140‑2 Level 3, что помогает защитить частный ЦС клиента от компрометации ключей.

Интеграция с IAM

Управлять доступом к сервису частного ЦС можно с помощью политик AWS IAM. Например, можно создать политику и предоставить ИТ‑администраторам, которые отвечают за управление ЦС, полный доступ для создания и настройки частных ЦС, а разработчикам и пользователям, которым необходимо только выдавать и отзывать сертификаты, предоставить ограниченный доступ.

Генерация списка отозванных сертификатов (CRL)

Частный ЦС ACM автоматически публикует и обновляет списки отозванных сертификатов (CRL) в корзине Amazon S3 соответствующего аккаунта. Приложения, сервисы и устройства используют CRL для оценки состояния сертификата при каждом взаимодействии между ресурсами. К примеру, приложение IoT, прежде чем принимать данные от того или иного датчика, может проверить, действителен ли частный сертификат этого датчика.

Доступ к ЦС из нескольких аккаунтов

Совместный доступ к ЦС во всей организации или из нескольких аккаунтов AWS помогает сократить расходы и избежать необходимости создания дубликатов ЦС для всех аккаунтов AWS и управления ими. С помощью AWS Resource Access Manager (RAM) можно создавать общие хранилища ресурсов, которые включают частные ЦС ACM и связаны с набором аккаунтов или сервисом AWS Organizations. При этом соответствующие аккаунты смогут выдавать частные сертификаты из общего ЦС. Частные сертификаты, выдаваемые из общего ЦС при помощи AWS Certificate Manager, создаются в локальной среде аккаунта, отправившего запрос, а ACM обеспечивает полное управление жизненным циклом и продление срока действия сертификатов.

Настройка

Частный ЦС ACM можно использовать как отдельный сервис для непосредственной выдачи сертификатов, без использования ACM для управления сертификатами и частными ключами. В этом случае можно создавать сертификаты с любым именем субъекта, использовать любые поддерживаемые алгоритмы формирования ключей, а также задавать любые размеры ключей, алгоритмы подписания, сроки действия (в днях, месяцах или годах с момента выдачи) и конкретную дату окончания срока действия.

Аудит и ведение журналов

Частный ЦС ACM предоставляет вам и вашим аудиторам возможность просмотра всех операций, связанных с частными ЦС. В целях аудита можно создавать отчеты, которые включают статус всех сертификатов, выпущенных ЦС. Частный ЦС ACM интегрирован с AWS CloudTrail. CloudTrail фиксирует вызовы API, выполненные в консоли частного ЦС ACM, интерфейсе командной строки или программном коде, и сохраняет файлы журналов в соответствующую корзину S3. Используя информацию, собранную сервисом CloudTrail, можно определить, какой запрос был совершен, с какого IP‑адреса он поступил, когда это произошло и т. д.

Автоматизация на основе API

Для автоматизации управления сертификатами можно написать код на любом языке программирования, используя API ACM Private CA и API ACM. Пакеты SDK AWS упрощают аутентификацию и эффективно интегрируются с используемой средой разработки. Вы также можете писать скрипты или отдельные команды для взаимодействия с сервисом при помощи инструментов командной строки.

ArcticWolfNetworksLogo

Arctic Wolf Networks (AWN) – ведущий в отрасли поставщик SOC (операционного центра защиты) как услуги, предлагающий в круглосуточном режиме и без выходных мониторинг, управляемое обнаружение угроз и реагирование для локальных и облачных приложений и инфраструктуры. Мы используем частный центр сертификации (ЦС) ACM для выдачи сертификатов, чтобы обеспечить безопасные подключения от наших датчиков к нашей специальной платформе операционного центра защиты, работающей в AWS. Частный ЦС ACM надежен и безопасен, мы можем интегрировать его в свою инфраструктуру с помощью привычных API AWS.

Майкл Харт, директор
по разработке инфраструктуры

Примеры использования

Помощь в соответствии требованиям

Упрощая использование SSL/TLS, AWS Certificate Manager помогает организациям обеспечить соответствие нормативным требованиям и другим стандартам в отношении шифрования данных при передаче. Подробную информацию о соответствии требованиям см. в разделе Соответствие облака AWS нормативным требованиям.

Увеличение времени безотказной работы

AWS Certificate Manager помогает справиться с проблемами обслуживания сертификатов SSL/TLS, включая продление их срока действия. Вам больше не придется беспокоиться о просроченных сертификатах.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Узнайте, как приступить к работе

Начало работы с AWS Certificate Manager

Подробнее 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Зарегистрировать бесплатный аккаунт

Получите мгновенный доступ к уровню бесплатного пользования AWS.

Регистрация 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Начните разработку в консоли

Начните разработку с использованием AWS Certificate Manager в Консоли AWS.

Войти