AWS Certificate Manager (ACM) Private Certificate Authority (CA) 是一種私人服務,可將 ACM 的憑證管理功能延伸至公有憑證和私有憑證。ACM Private CA 為您提供高可用性的私有 CA 服務,沒有操作私有 CA 所花費的前期投資與持續維護成本。ACM Private CA 提供 API 給開發人員,讓他們可以更靈活地以程式設計方式建立和部署私有憑證。您還可彈性地為需要自訂憑證生命週期或資源名稱的應用程式建立私有憑證。使用 ACM Private CA,您可以利用安全、依用量計費的受管私有 CA 服務,在單一位置建立和管理已連線資源的私有憑證。

CA 管理員可以使用 ACM Private CA 來建立完整的 CA 層次結構,包括線上根目錄和從屬 CA,無需額外的 CA。ACM Private CA 還允許含有離線和線上 CA 的混合層次結構。CA 層次結構為信任鏈頂部的最信任的根 CA 提供強大的安全性和限制存取控制,同時允許針對信任鏈底部的從屬 CA 更自由地存取和大量核發憑證。您可以建立安全且高度可用的 CA,而無需建置和維護您專屬的現場部署 CA 基礎設施。

 

2018 年 AWS 舊金山高峰會 – AWS Certificate Manager Private Certificate Authority

優勢

安全且受管的私有憑證授權單位

ACM Private CA 可讓您更輕鬆且安全地建立私有 CA,並使用它來建立和管理您的私有憑證。AWS 的受管硬體安全模組 (HSM) 可確保 ACM Private CA 的安全。這些 HSM 遵循 FIPS 140-2 第 3 級安全標準,可安全地存放私有 CA 的金鑰。Private CA 管理員可利用 AWS Identity and Access Management (IAM) 政策控管對此服務的存取權限。ACM Private CA 可讓您清楚掌握私有憑證活動以及建立報告。您可以使用 AWS CloudTrail 記錄和監控服務來稽核私有 CA 活動。ACM Private CA 也會自動發佈憑證撤銷清單 (CRL) 並更新到 Amazon S3,以協助避免使用已撤銷的憑證。例如,IoT 應用程式可在接受感應器的資料之前檢查該感應器的私有憑證是否有效。

集中管理憑證

ACM Private CA 可讓您管理私有和公有憑證的生命週期。使用 ACM Private CA,您可選擇讓 ACM 為您管理搭配 ACM 整合式服務 (例如 Elastic Load Balancing 與 API Gateway) 使用的憑證。您可以使用 AWS 管理主控台或 AWS API 輕鬆地建立和部署私有憑證。ACM 可讓這些憑證的更新和部署自動化。ACM Private CA 也可讓您使用 API 自動建立和更新現場部署資源、EC2 執行個體及 IoT 裝置的私有憑證。ACM Private CA 可讓您選擇自行管理私有憑證,而不使用 ACM 憑證管理。

完整 CA 層次結構

ACM Private CA 可讓 CA 管理員建立靈活的 CA 層次結構,包括根 CA 和從屬 CA,無需額外的 CA。客戶可以在提供 ACM Private CA 的任何 AWS 區域中建立安全且高度可用的 CA,而無需建置和維護其專屬的現場部署 CA 基礎設施。或者,可以在混合模式下建置 CA 層次結構,組合線上和現場部署 CA。除了簡單管理,ACM Private CA 還根據客戶的內部合規規則和安全性最佳實務來提供操作 CA 所必備的安全性。

讓開發人員靈活運用

只要幾個 API 呼叫,ACM Private CA 就能讓您建立和部署憑證。ACM Private CA 允許開發人員向與他們的 AWS 帳戶連結的私有 CA 要求憑證,所以您可以將私有憑證交由開發人員管理。如果是需要大量短期憑證的使用案例,您也可以讓憑證建立自動化。例如,您可以自動建立和部署憑證,以在自動調整規模的環境中識別新的 EC2 執行個體與容器,或驗證從 AWS Lambda 函數傳送的事件通知訊息。

彈性自訂私有憑證

ACM Private CA 可做為獨立服務使用 (不使用 ACM 憑證管理) 以建立和部署自訂私有憑證,例如具有自訂資源名稱或生命週期的憑證。在需要依特定名稱識別資源的使用案例中 (例如依序號識別裝置),或如果憑證無法輕易輪換 (例如製造過程中內嵌到硬體裝置的憑證),能彈性自訂私有憑證會很有幫助。

依用量計費的定價

相較於市面上傳統的商用選項,ACM Private CA 更經濟實惠。ACM Private CA 會按月收取您建立和部署服務與憑證所需的費用。您使用的憑證愈多,費用愈低。您可在這裡進一步了解有關定價的資訊。

功能

AWS 的受管憑證授權單位

ACM Private CA 是一項受管服務,可自動化耗時的管理任務,例如硬體佈建、軟體修補、高可用性及備份。ACM Private CA 提供兼具安全、組態、管理和監控功能的高可用性私有 CA。ACM Private CA 可讓您在數種 CA 金鑰演算法及金鑰大小做選擇,包括 RSA 2048 或 4096 及 ECDSA P256 或 P384。ACM 

憑證生命週期管理

ACM Private CA 已與 ACM 整合,可讓您從單一主控台界面同時管理公有與私有憑證。使用 ACM 向您的 Private CA 要求憑證時,ACM 會產生並管理私有金鑰、自動更新憑證,然後將憑證部署到 ACM 整合式服務上的資源,包括 Elastic Load Balancing 負載平衡器與 API Gateway 端點。ACM 還能讓您使用 API 自動化功能,輕鬆地在任何位置匯出和部署私有憑證。

安全根 CA 和 CA 層次結構管理

ACM Private CA 層次結構為信任鏈頂部的最信任的根 CA 提供強大的安全性和限制存取控制,同時允許針對信任鏈底部的從屬 CA 更自由地存取和大量核發憑證。您可以使用 AWS Identity and Access Management (IAM) 政策控制誰可以建立新 CA 或限制對現有 CA 的存取。層次結構中的所有 ACM Private CA 可保護FIPS 140-2 第 3 級硬體中您的 CA 私有金鑰

HSM 提供支援的金鑰儲存可確保 CA 金鑰的安全

憑證授權單位用來簽署憑證的金鑰具有高度機密。ACM Private CA 使用 AWS 的受管硬體安全模組 (又稱為 HSM) 來確保 CA 金鑰的安全。這些 HSM 遵循 FIPS 140-2 第 3 級安全標準,可保護您的 Private CA 免於金鑰被盜用的風險。

IAM 整合

您可使用 AWS IAM 政策控管對 Private CA 服務的存取權限。例如,您可以建立政策,對負責管理 CA 的 IT 管理員授與建立和設定 Private CA 的完整存取權,另對只需要發行和撤銷憑證的開發人員和使用者,則授與有限的存取權。

產生憑證撤銷清單 (CRL)

ACM Private CA 會自動發佈憑證撤銷清單,並更新到您的 Amazon S3 儲存貯體。每次建立兩個資源之間的連線時,應用程式、服務及裝置就會使用 CRL 評估憑證的狀態。例如,IoT 應用程式可在接受感應器的資料之前檢查該感應器的私有憑證是否有效。

API 自動化

使用 ACM Private CA 與 ACM API,您可以用自己選擇的程式設計語言來撰寫程式碼,讓憑證管理自動化。AWS 開發套件可使身份驗證更為簡單,而且可與您的開發環境有效整合。您也可使用命令列工具來撰寫指令碼或一次性指令,以和服務進行互動。

自訂

ACM Private CA 可做為獨立服務使用 (不使用 ACM 來管理憑證和私有金鑰) 以直接發行憑證。以這種方式使用時,您可以用任何想要的主題名稱、任何支援的金鑰演算法、金鑰大小、簽署演算法及任何有效期間 (包含自目前時間起算的幾天、幾月或幾年內有效,或特定的結束日期) 來建立憑證。

稽核與記錄

ACM Private CA 可讓您和稽核人員清楚掌握 Private CA 的活動。您可以建立稽核報告來查看從 CA 發行之所有憑證的狀態。ACM Private CA 已與 AWS CloudTrail 整合。CloudTrail 會從 ACM Private CA 主控台、CLI 或您的程式碼擷取 API 呼叫,並將日誌檔交付到您的 S3 儲存貯體。您可利用 CloudTrail 所收集的資訊來判斷請求的內容、請求的來源 IP 地址及請求的時間等等。

ArcticWolfNetworksLogo

Arctic Wolf Networks (AWN) 是業界領先的 SOC 即服務供應商,為現場部署和雲應用程式及基礎設施提供全年無休的監控及受管威脅偵測和回應。我們使用 ACM Private Certificate Authority (CA) 頒發憑證,以確保從我們的感應器與在 AWS 中執行的專門打造的安全運營中心平台之間,實現安全連接。ACM Private CA 為我們提供了安全且受管的 CA,讓我們可以使用熟悉的AWS API 將其整合到我們的基礎設施中。

總監 Michael Hart
基礎設施工程

使用案例

協助遵守合規要求

透過輕鬆啟用 SSL/TLS,AWS Certificate Manager 可協助組織遵守加密傳輸中資料的規範和合規要求。如需特定的合規資訊,請參閱 AWS 雲端合規網站

提高正常執行時間

AWS Certificate Manager 會協助管理維護 SSL/TLS 憑證的各種挑戰,其中包含憑證更新,因此您不需要擔心憑證過期。

了解 AWS Certificate Manager Private Certificate Authority 定價

瀏覽定價頁面
準備好開始建立?
開始使用 AWS Certificate Manager
還有其他問題嗎?
聯絡我們