Configuración para usar AWS Certificate Manager. - AWS Certificate Manager
Registro en una Cuenta de AWSCreación de un usuario con acceso administrativoRegistrar un nombre de dominio(Opcional) Configuración de un registro de CAA

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración para usar AWS Certificate Manager.

AWS Certificate Manager (ACM) permite aprovisionar y administrar certificados SSL/TLS para sus aplicaciones y sitios web basados en AWS. Puede utilizar ACM; para crear o importar un certificado y luego administrarlo. Para implementar el certificado en su sitio web o aplicación necesita utilizar otros servicios de AWS. Para obtener más información sobre los servicios integrados con ACM, consulte Servicios integrados con ACM. En las siguientes secciones se tratan los pasos necesarios para poder utilizar ACM.

Registro en una Cuenta de AWS

Si no dispone de una Cuenta de AWS, siga estos pasos para crear una.

Procedimiento para registrarse en Cuenta de AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga las instrucciones que se le indiquen.

    Parte del procedimiento de registro consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

    Al registrarse en una Cuenta de AWS, se crea un Usuario raíz de la cuenta de AWS. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar tareas que requieren acceso de usuario raíz.

AWS le enviará un email de confirmación cuando complete el proceso de registro. Puede ver la actividad de la cuenta y administrar la cuenta en cualquier momento entrando en https://aws.amazon.com/ y seleccionando Mi cuenta.

Creación de un usuario con acceso administrativo

Después de registrarse para obtener una Cuenta de AWS, proteja su Usuario raíz de la cuenta de AWS, habilite AWS IAM Identity Center y cree un usuario administrativo para no utilizar el usuario raíz en las tareas cotidianas.

Protección de Usuario raíz de la cuenta de AWS

  1. Inicie sesión en AWS Management Console como propietario de la cuenta; para ello, elija Usuario raíz e introduzca el correo electrónico de su Cuenta de AWS. En la siguiente página, escriba su contraseña.

    Para obtener ayuda para iniciar sesión con el usuario raíz, consulte Iniciar sesión como usuario raíz en la Guía del usuario de AWS Sign-In.

  2. Active la autenticación multifactor (MFA) para el usuario raíz.

    Para obtener instrucciones, consulte Habilitación de un dispositivo MFA virtual para su usuario raíz de la Cuenta de AWS (consola) en la Guía del usuario de IAM.

Creación de un usuario con acceso administrativo

  1. Activar IAM Identity Center.

    Consulte las instrucciones en Activar AWS IAM Identity Center en la Guía del usuario de AWS IAM Identity Center.

  2. En IAM Identity Center, conceda acceso administrativo a un usuario.

    Para ver un tutorial sobre cómo utilizar Directorio de IAM Identity Center como origen de identidad, consulte Configuración del acceso de los usuarios con el Directorio de IAM Identity Center predeterminado en la Guía del usuario de AWS IAM Identity Center.

Iniciar sesión como usuario con acceso de administrador

  • Para iniciar sesión con el usuario de IAM Identity Center, utilice la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario de IAM Identity Center.

    Para obtener ayuda para iniciar sesión con un usuario del IAM Identity Center, consulte Inicio de sesión en el portal de acceso de AWS en la Guía del usuario de AWS Sign-In.

Concesión de acceso a usuarios adicionales

  1. En IAM Identity Center, cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos de privilegios mínimos.

    Para conocer las instrucciones, consulte Create a permission set en la Guía del usuario de AWS IAM Identity Center.

  2. Asigne usuarios a un grupo y, a continuación, asigne el acceso de inicio de sesión único al grupo.

    Para conocer las instrucciones, consulte Add groups en la Guía del usuario de AWS IAM Identity Center.

Registro de un nombre de dominio para ACM

Un nombre de dominio completo (FQDN) es el nombre único de una organización o individuo en Internet, seguido de una extensión de dominio de nivel superior como, por ejemplo, .com o .org. Si aún no tiene un nombre de dominio registrado, puede registrar uno a través de Amazon Route 53 o cualquier otro registrador comercial. Lo normal es dirigirse al sitio web del registrador y solicitar un nombre de dominio. El registro de un nombre de dominio suele durar un periodo de tiempo determinado antes de que tenga que renovarse; por ejemplo, uno o dos años.

Para obtener más información sobre el registro de nombres de dominio con Amazon Route 53, consulte Registro de nombres de dominio mediante Amazon Route 53 en la Guía del desarrollador de Amazon Route 53.

(Opcional) Configuración de un registro de CAA

Un registro de CAA especifica qué entidades de certificación (CA) están autorizadas a emitir certificados para un dominio o subdominio. La creación de un registro de CAA para su uso con ACM ayuda a evitar que una CA errónea emita certificados para sus dominios. Un registro de CAA no es un sustituto de los requisitos de seguridad que especifica su entidad de certificación como, por ejemplo, la necesidad de validar que usted es el propietario de un dominio.

Después de validar el dominio durante el proceso de solicitud del certificado, ACM verifica la presencia de un registro de CAA para asegurarse de que puede emitir un certificado para usted. Configurar un registro de CAA es opcional.

Utilice los siguientes valores cuando configure el registro de CAA:

flags

Especifica si ACM admite el valor del campo tag (etiqueta). Establezca este valor en 0.

etiqueta

El campo tag puede tener uno de los siguientes valores. Tenga en cuenta que el campo iodef se omite actualmente.

issue

Indica que la CA de ACM especificada en el campovalue (valor) tiene autorización para emitir un certificado para su dominio o subdominio.

issuewild

Indica que la CA de ACM; especificada en el campovalue (valor) tiene autorización para emitir un certificado comodín para su dominio o subdominio. Un certificado comodín se aplica al dominio o subdominio y a todos sus subdominios.

value

El valor de este campo depende del valor del campo tag. Debe incluir este valor entre comillas ("").

Cuando tag es issue

El campo value contiene el nombre de dominio de la CA. Este campo puede contener el nombre de una CA que no sea una CA de Amazon. Sin embargo, si no dispone de un registro de CAA que especifique una de las siguientes cuatro CA de Amazon, ACM no puede emitir un certificado para su dominio o subdominio:

  • amazon.com

  • amazontrust.com

  • awstrust.com

  • amazonaws.com

El campo value también puede contener un punto y coma (;) para indicar que no se debe permitir a la CA emitir un certificado para su dominio o subdominio. Utilice este campo si en algún momento decide que ya no desea que se le emita un certificado para un dominio determinado.

Cuando tag es issuewild

El campo value es igual que cuando tag es issue salvo que el valor se aplica a los certificados comodín.

Cuando hay un registro de CAA issuewild que no incluye ningún valor CA de ACM, ACM no puede emitir ningún comodín. Si no hay ningún registro issuewild, pero sí un registro issue de CAA para ACM, ACM puede emitir los comodines.

ejemplo Ejemplos de registros de CAA

En los siguientes ejemplos, su nombre de dominio aparece primero seguido del tipo de registro (CAA). El campo flags siempre es 0. El campo tags puede ser issue o issuewild. Si el campo es issue y escribe el nombre de dominio de un servidor de CA en el campo value, el registro de CAA indica que el servidor especificado tiene permiso para emitir el certificado solicitado. Si escribe un punto y coma ";" en el campo value, el registro de CAA indica que ninguna CA tiene permiso para emitir un certificado. La configuración de los registros de CAA varía en función del proveedor de DNS. 

Domain       Record type  Flags  Tag      Value   
example.com.   CAA            0        issue      "SomeCA.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazon.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazontrust.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "awstrust.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazonaws.com"
Domain       Record type  Flags  Tag      Value 
example.com    CAA            0        issue      ";"

Para obtener más información sobre cómo agregar o modificar registros de DNS, contacte con el proveedor de DNS. Route 53 admite registros de CAA. Si Route 53 es su proveedor de DNS, consulte Formato de CAA para obtener más información sobre la creación de un registro.