ACM Private CA, ön yatırım ve kendi özel sertifika yetkilinizi (CA) çalıştırmanın sürekli bakım maliyetleri olmadan yüksek oranda erişilebilir bir Private CA hizmeti sunar. AWS Certificate Manager (ACM) Private Certificate Authority (CA), ACM'nin sertifika yönetimi özelliklerini hem genel hem de özel sertifikalara taşıyan bir Private CA hizmetidir.  ACM Private CA, geliştiricilere programlama yoluyla özel sertifikalar oluşturma ve dağıtma API'leri sunarak daha çevik olmalarını sağlar. Ayrıca özel sertifika yaşam süreleri veya kaynak adları gerektiren uygulamalar için özel sertifikalar oluşturma esnekliğine de sahip olursunuz. ACM Private CA sayesinde, bağlı kaynaklarınızın özel sertifikalarını güvenli, kullandıkça ödeme fiyatlandırma modeli ve yönetilen Private CA hizmetiyle tek bir yerden oluşturabilir, yönetebilir ve izleyebilirsiniz.

CA yöneticileri, harici CA'lara ihtiyaç olmadan çevrimiçi kök ve yan CA'lar dahil eksiksiz bir CA hiyerarşisi oluşturmak için ACM Private CA'yı kullanabilir. ACM Private CA ayrıca çevrimdışı ve çevrimiçi CA'ları içeren hibrit bir hiyerarşiye olanak sağlar. CA hiyerarşisi, güven zincirinin en üstünde yer alan en güvenilir kök CA için güçlü güvenlik ve kısıtlayıcı erişim denetimleri sağlarken zincirde daha alt konumlarda yer alan yan CA'lar için daha esnek erişim ve toplu sertifika verme imkanı tanır. Şirket içinde kendi CA altyapınızı oluşturup sürdürmeden güvenli ve yüksek oranda erişilebilir CA'lar oluşturabilirsiniz. ACM aracılığıyla veya doğrudan CA'dan sertifika vererek CA'larınızın merkezi yönetimine olanak sağlamak için bir CA'yı AWS hesapları ya da kuruluşunuz genelinde paylaşabilirsiniz. Böylece, hem yönetmeniz ve karşılığında ödeme yapmanız gereken CA sayısı azalır hem de CA yönetim görevlerini sertifika verme görevinden ayırabilirsiniz.

 

AWS Zirvesi San Francisco 2018 - AWS Certificate Manager Private Certificate Authority

Avantajlar

Güvenli ve Yönetilen Private Certificate Authority

ACM Private CA, bir Private CA oluşturmanıza ve bunu kullanarak özel sertifikalarınızı oluşturup yönetmenize imkan tanıyan güvenli ve kolay bir yöntem sağlar. ACM Private CA'nın güvenliği, AWS tarafından yönetilen donanım güvenliği modülleri (HSM'ler) ile sağlanır. Bu HSM'ler, FIPS 140-2 güvenlik standartlarına uygundur ve dolayısıyla Private CA'nızın anahtarlarını güvenli bir şekilde depolar. Private CA yöneticileri, AWS Identity and Access Management (IAM) politikalarını kullanarak hizmete erişimi denetleyebilir. Bir CA'yı yalnızca sertifika vermek için AWS Resource Access Manager'ı (RAM) kullanarak ve CA yönetimini yöneticilerle sınırlı tutarak paylaşabilirsiniz. ACM Private CA, özel sertifika etkinlikleri üzerinde görünürlük sağlar ve raporlar oluşturmanıza imkan tanır. AWS CloudTrail günlük kaydı ve izleme hizmetini kullanarak Private CA etkinliklerini denetleyebilirsiniz. ACM Private CA ayrıca iptal edilen sertifikaların kullanımının önlenmesine yardımcı olmak için sertifika iptal listelerini (CRL) Amazon S3'te otomatik olarak yayınlar ve günceller. Örneğin bir IoT uygulaması bir sensörden gelen verileri kabul etmeden önce bu sensöre ait özel sertifikanın geçerli olup olmadığını denetleyebilir.

Sertifika Yetkililerini Tek Bir Merkezden Yönetin

ACM Private CA'lar tek bir hesapta oluşturulup yönetilebilir ve ardından sertifika vermesi gereken diğer AWS hesaplarıyla paylaşılabilir. AWS kaynaklarını herhangi bir AWS hesabıyla veya AWS kuruluşunuz genelinde paylaşmanıza olanak tanıyan bir AWS hizmeti olan AWS Resource Access Manager sayesinde, müşteriler bir dizi hesap veya kuruluş ile paylaşmak için CA'lar içeren kaynak paylaşımları tanımlayabilir. CA denetim raporu, bu CA'dan verilen tüm sertifikalara ilişkin ayrıntıları sağlar. Bir CA'nın paylaşıldığı her hesap, sertifikalar oluşturup vermek için AWS Certificate Manager'ı kullanabilir ya da sertifika imzalama isteklerini (CSR'ler) imzalamak için doğrudan CA'yı çağırabilir.

Eksiksiz CA hiyerarşileri

ACM Private CA, CA yöneticilerinin harici CA'lara ihtiyaç duymadan kök ve yan CA'lar dahil esnek bir CA hiyerarşisi oluşturmasına olanak sağlar. Müşteriler, şirket içinde kendi CA altyapılarını oluşturup sürdürmeden, ACM Private CA'nın erişilebilir olduğu AWS bölgelerinin herhangi birinde güvenli ve yüksek oranda erişilebilir CA'lar oluşturabilir. Alternatif olarak, çevrimiçi ve şirket içi CA'lar bir araya getirilerek hibrit modda CA hiyerarşileri oluşturulabilir. ACM Private CA, basit yönetim imkanına ek olarak, bir CA'nın müşterilerin dahili uygunluk kurallarına ve güvenlikle ilgili en iyi uygulamalara uygun olarak işletilmesine yönelik temel güvenliği sağlar.

Geliştirici Çevikliği Elde Edin

ACM Private CA sadece birkaç API çağrısıyla, CLI komutuyla veya AWS CloudFormation şablonu yoluyla sertifika oluşturma ve dağıtma çevikliğini sunar. ACM Private CA sayesinde CA yöneticileri, geliştiricilerin kendi AWS hesaplarıyla paylaşılan Private CA'lardan sertifika istemesine izin vererek, özel sertifika verme görevini geliştiricilere devredebilir. Ayrıca yüksek hacimde kısa ömürlü sertifika gerektiren kullanım örnekleri için sertifika oluşturma işlemini otomatik hale getirebilirsiniz. Örneğin otomatik ölçeklendirme ortamlarında yeni EC2 bulut sunucuları ve container'ları tanımlamak veya AWS Lambda işlevlerinden gönderilen olay bildirimi mesajlarının kimlik doğrulamasını yapmak için otomatik olarak sertifikalar oluşturabilir ve dağıtabilirsiniz.

Özel Sertifikaları Özelleştirme Esnekliği

ACM Private CA, özel kaynak adlarına veya yaşam sürelerine sahip sertifikalar gibi kişiselleştirilmiş özel sertifikalar oluşturmak ve dağıtmak için, ACM sertifika yönetimi olmaksızın tek başına bir hizmet olarak kullanılabilir. Bu esneklik, kaynakların belirli bir ada göre tanımlanabilmesine (ör. bir cihazı kendi seri numarasına göre tanımlama) gerek duyulan kullanım örneklerinde ya da sertifikalara kolayca rotasyon uygulanamadığı durumlarda (ör. üretim sürecinde donanım cihazlarına gömülü olarak yerleştirilen sertifikalar gibi) yararlı olur.

Kullandıkça Öde Fiyatlandırması

ACM Private CA, ticari olarak erişilebilir geleneksel seçeneklere kıyasla daha uygun maliyetlidir. ACM Private CA, hem hizmet hem de oluşturduğunuz ve dağıttığınız sertifikalar için aylık ödeme yapabilmenizi sağlar. Daha fazla sertifika kullandıkça daha az ödersiniz. Fiyatlandırma hakkında daha fazla bilgiye buradan ulaşabilirsiniz.

Özellikler

AWS Tarafından Yönetilen Sertifika Yetkilisi

ACM Private CA; donanım tedarik etme, yazılım düzeltme eki uygulama, yüksek erişilebilirlik ve yedeklemeler gibi zaman alan yönetim görevlerini otomatikleştiren bir yönetilen hizmettir. ACM Private CA, yüksek oranda erişilebilir bir CA için güvenlik, yapılandırma, yönetim ve izleme olanağı sağlar. ACM Private CA, RSA 2048 veya 4096 ve ECDSA P256 veya P384 dahil olmak üzere birkaç CA anahtarı algoritması ve anahtar boyutu arasından seçim yapmanıza imkan tanır. ACM ayrıca API tabanlı otomasyon kullanarak özel sertifikaları dışarı aktarmanızı ve istediğiniz yere dağıtmanızı kolaylaştırır.

Entegre Sertifika Yaşam Döngüsü Yönetimi

ACM Private CA sayesinde, Elastic Load Balancing ve API Gateway gibi ACM ile entegre hizmetlerle birlikte kullanılan sertifikalar için sertifika yönetimini ACM'ye devretmeyi seçebilirsiniz. AWS Management Console'u veya AWS API'lerini kullanarak özel sertifikaları kolayca oluşturabilir ve dağıtabilirsiniz. ACM bu sertifikaların yenileme ve dağıtımını otomatikleştirir. ACM Private CA size ayrıca şirket içi kaynaklar, EC2 bulut sunucuları ve IoT cihazları için özel sertifikaları oluşturma ve yenileme işlemini otomatikleştirmenize imkan tanıyan API'ler sağlar. ACM Private CA, ACM sertifika yönetimini kullanmadan özel sertifikaları kendi başınıza yönetme esnekliği sunar.

Güvenli kök CA ve CA hiyerarşisi yönetimi

Bir ACM Private CA hiyerarşisi, güven zincirinin en üstünde yer alan en güvenilir kök CA için güçlü güvenlik ve kısıtlayıcı erişim denetimleri sağlarken zincirde daha alt konumlarda yer alan yan CA'lar için daha esnek erişim ve toplu sertifika verme olanağı tanır. AWS Identity and Access Management (IAM) politikalarını kullanarak, yeni CA oluşturabilecek kişileri denetleyebilir veya mevcut CA'lara erişimi kısıtlayabilirsiniz. Bir hiyerarşideki tüm ACM Private CA'lar, CA özel anahtarlarınızı FIPS 140-2 uyumlu donanımda saklayarak korur.

CA Anahtarları İçin HSM Tarafından Desteklenen Güvenli Anahtar Depolama

Bir sertifika yetkilisi tarafından sertifikaları imzalamada kullanılan anahtarlar son derece hassas verilerdir. ACM Private CA, CA anahtarlarının güvenliğini AWS tarafından yönetilen donanım güvenliği modülleriyle (HSM'ler) sağlar. FIPS 140-2 güvenlik standartlarına uygun bu HSM'ler, Private CA'nızın başlıca tehditlere karşı korunmasına yardımcı olur. Private CA belgelerinde FIPS 140-2 uyumlu donanım ile ilgili ayrıntılara ulaşabilirsiniz.

IAM Entegrasyonu

AWS IAM politikalarıyla Private CA hizmetine erişimi denetleyebilirsiniz. Örneğin CA yönetiminden sorumlu BT yöneticilerine Private CA'lar oluşturma ve yapılandırma görevleri için tam erişim verirken, yalnızca sertifika verme ve iptal etme işlemlerini gerçekleştirmesi gereken geliştiricilere ve kullanıcılara ise sınırlı erişim vermek için bir politika oluşturabilirsiniz.

CRL ve OCSP ile Sertifika İptali

Şifrelenmiş bir TLS bağlantısı kurulurken iptal altyapısı, sertifikaya güvenilmemesi gerektiği bilgisini ilgili uç noktaya verir. Private CA müşterileri, iptal bilgilerini kendi özel sertifikalarına dağıtmak için Çevrimiçi Sertifika Durumu Protokolü'nü (OCSP), sertifika iptal listelerini (CRL'ler) veya bunların her ikisini de kullanmayı seçebilir.

Hesaplar Arası CA Paylaşımı

CA'ların kuruluşunuz veya AWS hesapları genelinde paylaşılması, tüm AWS hesaplarınızda yinelenen CA'lar oluşturma ve yönetme işleminin doğuracağı maliyetleri ve karmaşıklığı önlemenizi sağlar. AWS Resource Access Manager (RAM) aracılığıyla ACM Private CA'lar içeren ve bir dizi hesap veya AWS Organizations ile ilişkilendirilen kaynak paylaşımları oluşturabilirsiniz. Bu işlem, dahil edilen hesapların paylaşılan CA'dan özel sertifikalar vermesini mümkün kılar. Paylaşılan bir CA'dan özel sertifikalar vermek için AWS Certificate Manager'ı kullanırken, sertifika talep eden hesapta yerel olarak oluşturulur ve ACM tam yaşam döngüsü yönetimi ve yenileme sağlar.

Özelleştirme

ACM Private CA, sertifika ve özel anahtar yönetimi için ACM kullanılmadan doğrudan sertifika vermek üzere tek başına bir hizmet olarak kullanılabilir. Hizmeti bu şekilde kullandığınızda, desteklenen anahtar algoritmalarından, anahtar boyutlarından, imzalama algoritmalarından istediğinizi kullanarak ve içinde bulunduğunuz zamandan gün, ay ve yıl veya belirli bir bitiş tarihi dahil herhangi bir geçerlilik süresi ile istediğiniz herhangi bir konu adıyla sertifikalar oluşturabilirsiniz.

Denetim ve günlük kaydı

ACM Private CA, size ve denetçilerinize Private CA'larınızın etkinlikleri konusunda görünürlük sunar. CA'dan verilen tüm sertifikaların durumunu içeren denetim raporları oluşturabilirsiniz. ACM Private CA, AWS CloudTrail ile entegredir. CloudTrail; ACM Private CA konsolundan, CLI'dan veya kendi kodunuzdan gelen API çağrılarını yakalar ve günlük dosyalarını S3 klasörünüze gönderir. CloudTrail tarafından toplanan bilgileri kullanarak; yapılan isteği, isteğin hangi IP adresinden geldiğini, ne zaman yapıldığı gibi bilgileri tespit edebilirsiniz.

API Tabanlı Otomasyon

Sertifika yönetimini otomatikleştirmek için ACM Private CA'yı ve ACM API'lerini kullanarak istediğiniz programlama dilinde kod yazabilirsiniz. AWS SDK'leri, kimlik doğrulamasını basitleştirir ve dağıtım ortamınızla verimli bir şekilde entegre olur. Ek olarak, hizmetle etkileşim kurmak üzere komut satırı araçlarını kullanarak betikler veya bir defaya mahsus komutlar yazabilirsiniz.

Uygunluk gerekliliklerinin yerine getirilmesine yardımcı olun

AWS Certificate Manager, SSL/TLS'nin etkinleştirilmesini kolaylaştırarak kuruluşunuzun aktarılmakta olan verilerin şifrelenmesi için yasal gereksinimleri ve mevzuat uyumluluğu gereksinimlerini karşılamasına yardımcı olabilir. Mevzuat uyumluluğu ile ilgili bilgi için AWS Bulut Mevzuat uyumluluğu sitesine bakın.

Daha yüksek çalışma süresi

AWS Certificate Manager, sertifika yenileme de dahil olmak üzere, SSL/TLS sertifikalarını sürdürme zorluklarını yönetmenize yardımcı olur. Böylece, süresi dolan sertifikalar konusunda endişelenmeniz gerekmez.

Blacksky
Arctic Wolf Networks (AWN), hem şirket içindeki hem de buluttaki uygulamalar ve altyapılar için 7/24 izleme, yönetilen tehdit algılama ve müdahale hizmeti sunan sektör lideri bir "hizmet olarak SOC" sağlayıcısıdır. Sensörlerimiz ile AWS'de çalışan amaca özel olarak tasarlanmış Güvenlik Operasyonları Merkezi platformumuz arasında güvenli bağlantı sağlamak amacıyla sertifika vermek için ACM Private Certificate Authority (CA) hizmetini kullanıyoruz. ACM Private CA, bilinen AWS API'lerini kullanarak altyapımıza entegre edebildiğimiz güvenli ve yönetilen bir CA sağlıyor.

Michael Hart, Altyapı Mühendisliği Direktörü - Artic Wolf

Kullanım örnekleri

AWS Hizmetleri İçin TLS

AWS Certificate Manager ile hızlı şekilde bir sertifika isteyip Elastic Load Balancer'lar, Amazon CloudFront dağıtımları ve API Gateway üzerindeki API'ler gibi, ACM ile entegre AWS kaynaklarında sertifikayı dağıtabilirsiniz. AWS Certificate Manager'ın sertifika yenileme işlemlerini gerçekleştirmesini sağlamanız da mümkündür. Sunucular, mobil cihazlar, IoT cihazları ve uygulamalar gibi, özel ağlar üzerinde yer alan bağlantılı kaynaklar arasındaki iletişimi belirlemek ve iletişimin güvenliğini sağlamak için özel sertifikalar kullanılır.

ACM, AWS Private CA'dan sertifika istemeyi destekler ve özel sertifikalarınızı hem AWS kaynaklarıyla ilişkilendirerek hem de AWS dışında kullanım için dışarı aktararak özel sertifikalarınız için sertifika yaşam döngüsünü yönetir. Daha fazla bilgi edinmek için AWS Certificate Manager Kullanmaya Başlama Kılavuzu'na bakın.

Kubernetes İçin TLS

Kubernetes container'ları ve uygulamaları, TLS üzerinden güvenli kimlik doğrulaması ve şifreleme sağlamak için dijital sertifikalar kullanır. Kubernetes'in bir eklentisi olan cert-manager, TLS sertifika yönetimi sağlar. cert-manager; sertifikaları ister, Kubernetes container'larına dağıtır ve sertifika yenileme işlemini otomatikleştirir. cert-manager, sertifikaların geçerli ve güncel olmasını sağlar ve süreleri dolmadan önce uygun bir zamanda sertifikaları yenilemeye çalışır.

AWS Private CA, Kubernetes container'ları için daha güvenli bir sertifika yetkilisi çözümü sunan, cert-manager'a yönelik açık kaynak kodlu bir eklentiyi desteklemektedir. Uygulama sertifikası yaşam döngüsü yönetimi için cert-manager'ı kullanan müşteriler, anahtarları sunucu belleğinde düz metin olarak depolayan varsayılan cert-manager CA'ya kıyasla güvenliği artırmak için bu çözümü kullanabilir. CA operasyonlarını ve CA operasyonlarına erişimi denetleme konusunda mevzuat gerekliliklerine tabi müşteriler, denetlenebilirliği artırmak ve uygunluğu desteklemek için bu çözümü kullanabilir. AWS Private CA Issuer eklentisini Amazon Elastic Kubernetes Service, AWS üzerinde kendi kendine yönetilen Kubernetes ve şirket içi Kubernetes ile birlikte kullanabilirsiniz. Daha fazla bilgi edinmek istiyorsanız Kubernetes ile yapılandırma için Private CA belgelerine bakın. 

Nasıl kullanmaya başlayacağınızı öğrenin

AWS Certificate Manager'ı kullanmaya başlama

Daha fazla bilgi edinin 
Ücretsiz bir hesap için kaydolun

AWS Ücretsiz Kullanım için anında erişim elde edin.

Kaydolun 
Konsolda oluşturmaya başlayın

AWS Konsolunda AWS Certificate Manager ile oluşturmaya başlayın.

Oturum açın