Bereiten Sie einen Amazon S3 S3-Bucket für Auditberichte vor Erstellen Sie einen Prüfbericht Rufen Sie einen Auditbericht ab Verschlüsseln Sie Ihre Auditberichte

Verwenden Sie Prüfberichte mit Ihrer privaten Zertifizierungsstelle

Sie können einen Auditbericht erstellen, der die Zertifikate auflistet, die ihre private CA ausgestellt oder widerrufen hat. Der Bericht wird in einem neuen oder bestehenden S3-Bucket gespeichert, den Sie bei der Eingabe angeben.

Weitere Informationen zum Hinzufügen von Verschlüsselungsschutz zu Ihren Audit-Berichten finden Sie unter Verschlüsseln Sie Ihre Auditberichte .

Die Prüfberichtsdatei hat den folgenden Pfad und Dateinamen. Der ARN für einen Amazon S3 S3-Bucket ist der Wert füramzn-s3-demo-bucket. CA_IDist die eindeutige Kennung einer ausstellenden Zertifizierungsstelle. UUIDist die eindeutige Kennung eines Prüfberichts.


amzn-s3-demo-bucket/audit-report/CA_ID/UUID.[json|csv]

Sie können alle 30 Minuten einen neuen Bericht erstellen und diesen aus Ihrem Bucket herunterladen. Das folgende Beispiel zeigt einen CSV getrennten Bericht.


awsAccountId,requestedByServicePrincipal,certificateArn,serial,subject,notBefore,notAfter,issuedAt,revokedAt,revocationReason,templateArn
123456789012,,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4e5f6a,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T21:43:57+0000,2020-04-07T22:43:57+0000,2020-03-02T22:43:58+0000,,UNSPECIFIED,arn:aws:acm-pca:::template/EndEntityCertificate/V1
123456789012,acm.amazonaws.com,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T20:53:39+0000,2020-04-07T21:53:39+0000,2020-03-02T21:53:40+0000,,,arn:aws:acm-pca:::template/EndEntityCertificate/V1

Das folgende Beispiel zeigt einen Bericht im JSON -Format.


[
   {
      "awsAccountId":"123456789012",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff",
      "subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2020-02-26T18:39:57+0000",
      "notAfter":"2021-02-26T19:39:57+0000",
      "issuedAt":"2020-02-26T19:39:58+0000",
      "revokedAt":"2020-02-26T20:00:36+0000",
      "revocationReason":"UNSPECIFIED",
      "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
   },
   {
      "awsAccountId":"123456789012",
      "requestedByServicePrincipal":"acm.amazonaws.com",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00",
      "subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2020-01-22T20:10:49+0000",
      "notAfter":"2021-01-17T21:10:49+0000",
      "issuedAt":"2020-01-22T21:10:49+0000",
      "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
   }
]

Anmerkung

Wenn ein Zertifikat AWS Certificate Manager erneuert wird, füllt der private CA-Prüfbericht das Feld mit. requestedByServicePrincipal acm.amazonaws.com Dies weist darauf hin, dass der AWS Certificate Manager Dienst im Namen eines Kunden die IssueCertificate AWS Private CA API Aktion zur Verlängerung des Zertifikats aufgerufen hat.

Bereiten Sie einen Amazon S3 S3-Bucket für Auditberichte vor

Wichtig

AWS Private CA unterstützt die Verwendung von Amazon S3 Object Lock nicht. Wenn Sie Object Lock für Ihren Bucket aktivieren, AWS Private CA ist es nicht möglich, Auditberichte in den Bucket zu schreiben.

Um Ihre Auditberichte zu speichern, müssen Sie einen Amazon S3 S3-Bucket vorbereiten. Weitere Informationen finden Sie unter Wie erstelle ich einen S3-Bucket?

Ihr S3-Bucket muss durch eine Berechtigungsrichtlinie geschützt sein, die AWS Private CA den Zugriff auf den von Ihnen angegebenen S3-Bucket und das Schreiben in diesen ermöglicht. Autorisierte Benutzer und Dienstprinzipale benötigen die Put Erlaubnis, Objekte im Bucket platzieren AWS Private CA zu dürfen, und die Get Erlaubnis, sie abzurufen. Wir empfehlen Ihnen, die unten aufgeführte Richtlinie anzuwenden, die den Zugriff sowohl auf ein AWS Konto als auch auf den ARN einer privaten Zertifizierungsstelle beschränkt. Alternativ können Sie den Bedingungsschlüssel aws: SourceOrg ID verwenden, um den Zugriff auf eine bestimmte Organisation in einzuschränken. AWS Organizations Weitere Informationen zu Bucket-Richtlinien finden Sie unter Bucket-Richtlinien für Amazon Simple Storage Service.


{
   "Version":"2012-10-17",
   "Statement":[
      {
       	 "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "arn:aws:s3:::amzn-s3-demo-bucket1"
         ],
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"111122223333",
               "aws:SourceArn":"arn:partition:acm-pca:region:111122223333:certificate-authority/CA_ID"
            }
         }
      }
   ]
}

Erstellen Sie einen Prüfbericht

Sie können einen Prüfbericht entweder über die Konsole oder über erstellen AWS CLI.

So erstellen Sie einen Audit-Bericht (Konsole)

Melden Sie sich bei Ihrem AWS Konto an und öffnen Sie die AWS Private CA Konsole zu https://console.aws.amazon.com/acm-pca/Hause.
Wählen Sie auf der Seite Private Zertifizierungsstellen Ihre private Zertifizierungsstelle aus der Liste aus.
Klicken Sie im Menü Aktionen auf Audit-Bericht generieren.
Finden Sie unter Ziel des Prüfberichts die Option Neuen S3-Bucket erstellen? , wählen Sie Ja und geben Sie einen eindeutigen Bucket-Namen ein, oder wählen Sie Nein und wählen Sie einen vorhandenen Bucket aus der Liste aus.

Wenn Sie Ja wählen, AWS Private CA wird die Standardrichtlinie erstellt und an Ihren Bucket angehängt. Die Standardrichtlinie beinhaltet einen aws:SourceAccount Bedingungsschlüssel, der den Zugriff auf ein bestimmtes AWS Konto beschränkt. Wenn Sie den Zugriff weiter einschränken möchten, können Sie der Richtlinie weitere Bedingungsschlüssel hinzufügen, wie im vorherigen Beispiel.

Wenn Sie Nein wählen, müssen Sie Ihrem Bucket eine Richtlinie hinzufügen, bevor Sie einen Prüfbericht erstellen können. Verwenden Sie das unter beschriebene RichtlinienmusterBereiten Sie einen Amazon S3 S3-Bucket für Auditberichte vor. Informationen zum Anhängen einer Richtlinie finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole.
Wählen Sie JSONunter Ausgabeformat die Option JavaScript Objektnotation oder CSVkommagetrennte Werte.
Wählen Sie Generate audit report (Auditbericht generieren).

So erstellen Sie einen Audit-Bericht (AWS CLI)

Wenn Sie noch keinen S3-Bucket haben, den Sie verwenden können, erstellen Sie einen.
Hängen Sie eine Richtlinie an Ihren Bucket an. Verwenden Sie das unter beschriebene RichtlinienmusterBereiten Sie einen Amazon S3 S3-Bucket für Auditberichte vor. Informationen zum Anhängen einer Richtlinie finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole

Verwenden Sie den Befehl create-certificate-authority-audit-report, um den Auditbericht zu erstellen und ihn im vorbereiteten S3-Bucket zu platzieren.


$ aws acm-pca create-certificate-authority-audit-report \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--s3-bucket-name amzn-s3-demo-bucket \
--audit-report-response-format JSON

Rufen Sie einen Auditbericht ab

Um einen Prüfbericht zur Inspektion abzurufen, verwenden Sie die Amazon S3 S3-KonsoleAPI,CLI, oderSDK. Weitere Informationen finden Sie unter Objekt herunterladen im Amazon Simple Storage Service-Benutzerhandbuch.

Verschlüsseln Sie Ihre Auditberichte

Sie können optional die Verschlüsselung für den Amazon S3 S3-Bucket konfigurieren, der Ihre Auditberichte enthält. AWS Private CA unterstützt zwei Verschlüsselungsmodi für Assets in S3:

Automatische serverseitige Verschlüsselung mit von Amazon S3 verwalteten 256 AES Schlüsseln.
Vom Kunden verwaltete Verschlüsselung unter Verwendung AWS Key Management Service und AWS KMS key Konfiguration nach Ihren Spezifikationen.

Anmerkung

AWS Private CA unterstützt nicht die Verwendung von KMS Standardschlüsseln, die automatisch von S3 generiert werden.

In den folgenden Verfahren wird die Einrichtung der einzelnen Verschlüsselungsoptionen beschrieben.

So konfigurieren Sie die automatische Verschlüsselung

Führen Sie die folgenden Schritte aus, um die serverseitige S3-Verschlüsselung zu aktivieren.

Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.
Wählen Sie in der Buckets-Tabelle den Bucket aus, der Ihre AWS Private CA Ressourcen aufnehmen soll.
Wählen Sie auf der Seite für Ihren Bucket die Registerkarte Properties (Eigenschaften) aus.
Wählen Sie die Karte Default encryption (Standardverschlüsselung aus.
Wählen Sie Enable (Aktivieren) aus.
Wählen Sie Amazon S3 S3-Schlüssel (SSE-S3).
Wählen Sie Save Changes.

So konfigurieren Sie die benutzerdefinierte Verschlüsselung

Gehen Sie wie folgt vor, um die Verschlüsselung mit einem benutzerdefinierten Schlüssel zu aktivieren.

Öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.
Wählen Sie in der Buckets-Tabelle den Bucket aus, der Ihre AWS Private CA Ressourcen aufnehmen soll.
Wählen Sie auf der Seite für Ihren Bucket die Registerkarte Properties (Eigenschaften) aus.
Wählen Sie die Karte Default encryption (Standardverschlüsselung aus.
Wählen Sie Enable (Aktivieren) aus.
Wählen Sie AWS Key Management Service den Schlüssel (SSE-KMS).
Wählen Sie entweder Aus Ihren AWS KMS Schlüsseln auswählen oder Enter AWS KMS key ARN.
Wählen Sie Save Changes.

(Optional) Wenn Sie noch keinen KMS Schlüssel haben, erstellen Sie einen mit dem folgenden Befehl AWS CLI create-key:


$ aws kms create-key

Die Ausgabe enthält die Schlüssel-ID und den Amazon-Ressourcennamen (ARN) des KMS Schlüssels. Im Folgenden finden Sie ein Beispiel für eine Ausgabe:


{
    "KeyMetadata": {
        "KeyId": "01234567-89ab-cdef-0123-456789abcdef",
        "Description": "",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1478910250.94,
        "Arn": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef",
        "AWSAccountId": "123456789012"
    }
}

Mit den folgenden Schritten erteilen Sie dem AWS Private CA Dienstprinzipal die Erlaubnis, den KMS Schlüssel zu verwenden. Standardmäßig sind alle KMS Schlüssel privat. Nur der Besitzer der Ressource kann einen KMS Schlüssel zum Verschlüsseln und Entschlüsseln von Daten verwenden. Der Ressourcenbesitzer kann jedoch anderen Benutzern und Ressourcen Berechtigungen für den Zugriff auf den KMS Schlüssel gewähren. Der Dienstprinzipal muss sich in derselben Region befinden, in der der KMS Schlüssel gespeichert ist.

Speichern Sie zunächst die Standardrichtlinie für Ihren KMS Schlüssel policy.json mit dem folgenden get-key-policyBefehl:
```
$ aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json
```

Öffnen Sie die Datei policy.json in einem Text-Editor. Wählen Sie eine der folgenden Richtlinienerklärungen aus und fügen Sie sie der vorhandenen Richtlinie hinzu.

Wenn Ihr Amazon S3 S3-Bucket-Key aktiviert ist, verwenden Sie die folgende Anweisung:


{
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":"arn:aws:s3:::bucket-name"
      }
   }
}

Wenn Ihr Amazon S3 S3-Bucket-Key deaktiviert ist, verwenden Sie die folgende Anweisung:


{
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":[
            "arn:aws:s3:::bucket-name/acm-pca-permission-test-key",
            "arn:aws:s3:::bucket-name/acm-pca-permission-test-key-private",
            "arn:aws:s3:::bucket-name/audit-report/*",
            "arn:aws:s3:::bucket-name/crl/*"
         ]
      }
   }
}

Wenden Sie abschließend die aktualisierte Richtlinie mit dem folgenden put-key-policyBefehl an:
```
$ aws kms put-key-policy --key-id key_id --policy-name default --policy file://policy.json
```

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Compliance-Validierung

Sicherheit der Infrastruktur