Utilice los informes de auditoría con su CA privada - AWS Private Certificate Authority
Prepare un bucket de Amazon S3 para los informes de auditoríaCree un informe de auditoríaRecupere un informe de auditoríaCifrado de los informes de auditoría

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Utilice los informes de auditoría con su CA privada

Puede crear un informe de auditoría para mostrar todos los certificados que la CA privada ha emitido o revocado. El informe se guarda en un bucket de S3 nuevo o existente que se especifique en la entrada.

Para obtener información sobre cómo agregar protección de cifrado a los informes de auditoría, consulte Cifrado de los informes de auditoría .

El archivo del informe de auditoría tiene la siguiente ruta y nombre de archivo. El ARN de un bucket de Amazon S3 es el valor de amzn-s3-demo-bucket. CA_ID es el identificador único de una CA emisora. UUID es el identificador único de un informe de auditoría. 

amzn-s3-demo-bucket/audit-report/CA_ID/UUID.[json|csv]

Puede generar un nuevo informe cada 30 minutos y descargarlo en el bucket. En el ejemplo siguiente se muestra un informe CSV.

awsAccountId,requestedByServicePrincipal,certificateArn,serial,subject,notBefore,notAfter,issuedAt,revokedAt,revocationReason,templateArn
123456789012,,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4e5f6a,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T21:43:57+0000,2020-04-07T22:43:57+0000,2020-03-02T22:43:58+0000,,UNSPECIFIED,arn:aws:acm-pca:::template/EndEntityCertificate/V1
123456789012,acm.amazonaws.com,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T20:53:39+0000,2020-04-07T21:53:39+0000,2020-03-02T21:53:40+0000,,,arn:aws:acm-pca:::template/EndEntityCertificate/V1

En el ejemplo siguiente, se muestra un informe en formato JSON. 

[
   {
      "awsAccountId":"123456789012",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff",
      "subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2020-02-26T18:39:57+0000",
      "notAfter":"2021-02-26T19:39:57+0000",
      "issuedAt":"2020-02-26T19:39:58+0000",
      "revokedAt":"2020-02-26T20:00:36+0000",
      "revocationReason":"UNSPECIFIED",
      "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
   },
   {
      "awsAccountId":"123456789012",
      "requestedByServicePrincipal":"acm.amazonaws.com",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00",
      "subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2020-01-22T20:10:49+0000",
      "notAfter":"2021-01-17T21:10:49+0000",
      "issuedAt":"2020-01-22T21:10:49+0000",
      "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
   }
]
nota

Al AWS Certificate Manager renovar un certificado, el informe de auditoría privado de CA rellena el requestedByServicePrincipal campo con. acm.amazonaws.com Esto indica que el AWS Certificate Manager servicio solicitó a IssueCertificate la Autoridad de certificación privada de AWS API la renovación del certificado en nombre de un cliente.

Prepare un bucket de Amazon S3 para los informes de auditoría

importante

AWS Private CA no admite el uso de Amazon S3 Object Lock. Si habilitas Object Lock en tu bucket, AWS Private CA no podrá escribir informes de auditoría en el bucket.

Para almacenar sus informes de auditoría, debe preparar un bucket de Amazon S3. Para obtener más información, consulte ¿Cómo puedo crear un bucket de S3?

El bucket de S3 debe estar protegido por una política de permisos que permita acceder AWS Private CA al bucket de S3 que especifique y escribir en él. Los usuarios autorizados y los directores de servicio necesitan Put permiso Autoridad de certificación privada de AWS para poder colocar objetos en el depósito y Get para recuperarlos. Le recomendamos que aplique la política que se muestra a continuación, que restringe el acceso tanto a una cuenta de AWS específica como al ARN de una CA privada. Como alternativa, puede usar la clave de condición aws: SourceOrg ID para restringir el acceso a una organización específica. AWS Organizations Para obtener más información sobre las políticas de depósitos, consulte Políticas de depósitos de Amazon Simple Storage Service.

{
   "Version":"2012-10-17",
   "Statement":[
      {
       	 "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "arn:aws:s3:::amzn-s3-demo-bucket1"
         ],
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"111122223333",
               "aws:SourceArn":"arn:partition:acm-pca:region:111122223333:certificate-authority/CA_ID"
            }
         }
      }
   ]
}

Cree un informe de auditoría

Puede crear un informe de auditoría desde la consola o la AWS CLI.

Para crear un informe de auditoría (consola)

  1. Inicia sesión en tu AWS cuenta y abre la Autoridad de certificación privada de AWS consola en https://console.aws.amazon.com/acm-pca/casa.

  2. En la página Private certificate authorities (Entidades de certificación privada), elija una CA privada de la lista.

  3. En el menú Acciones, elija Generar informe de auditoría.

  4. En Audit report destination (Destino de informe de auditoría), para Create a new S3 bucket? ¿Crear un nuevo bucket de S3?, elija Yes (Sí) y escriba un nombre de bucket único o elija No y elija un bucket existente de la lista.

    Si eliges , Autoridad de certificación privada de AWS crea y adjunta la política predeterminada a tu bucket. La política predeterminada incluye una clave de aws:SourceAccount condición que limita el acceso a una AWS cuenta específica. Si desea restringir aún más el acceso, puede añadir otras claves de condición a la política, como en el ejemplo anterior.

    Si selecciona No, deberá asociar la siguiente política al bucket antes de poder generar el informe de auditoría. Utilice el patrón de políticas descrito en Prepare un bucket de Amazon S3 para los informes de auditoría. Para obtener información sobre cómo adjuntar una política, consulte Añadir una política de bucket mediante la consola Amazon S3.

  5. En Formato de salida, elija JSON para la notación de JavaScript objetos o CSV para valores separados por comas.

  6. Seleccione Generate audit report (Generar informe de auditoría).

Para crear un informe de auditoría (AWS CLI)

  1. Si no dispone de un bucket S3, cree uno.

  2. Adjunte la política a su bucket. Utilice el patrón de políticas descrito en Prepare un bucket de Amazon S3 para los informes de auditoría. Para obtener más información sobre cómo adjuntar una política, consulte Agregar una política de bucket mediante la consola de Amazon S3

  3. Utilice el comando create-certificate-authority-audit-report para crear el informe de auditoría y colocarlo en el depósito de S3 preparado.

    $ aws acm-pca create-certificate-authority-audit-report \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--s3-bucket-name amzn-s3-demo-bucket \
--audit-report-response-format JSON

Recupere un informe de auditoría

Para obtener un informe de auditoría para su inspección, utilice la consola de Amazon S3, la API, la CLI o el SDK. Para obtener más información, consulte Descargar un objeto en la Guía del usuario de Amazon Simple Storage Service.

Cifrado de los informes de auditoría

Si lo desea, puede configurar el cifrado en el bucket de Amazon S3 que contiene sus informes de auditoría. Autoridad de certificación privada de AWS admite dos modos de cifrado para los activos de S3:

  • Cifrado del lado del servidor automático con claves AES-256 administradas por Amazon S3.

  • El cifrado gestionado por el cliente utiliza AWS Key Management Service y AWS KMS key configura según sus especificaciones.

nota

Autoridad de certificación privada de AWS no admite el uso de claves KMS predeterminadas generadas automáticamente por S3.

Los siguientes procedimientos describen cómo configurar cada una de las opciones de cifrado.

Para configurar el cifrado automático

Complete los siguientes pasos para habilitar el cifrado del lado del servidor de S3.

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En la tabla Buckets, elija el bucket que contendrá sus Autoridad de certificación privada de AWS activos.

  3. En la página del bucket, elija la pestaña Properties (Propiedades).

  4. Elija la tarjeta Default encryption (Cifrado predeterminado) .

  5. Seleccione Habilitar.

  6. Elija la Amazon S3 key (SSE-S3) (Clave Amazon S3 (SSE-S3)).

  7. Elija Save changes (Guardar cambios).

Para configurar el cifrado personalizado

Complete los siguientes pasos para habilitar el cifrado mediante una clave personalizada.

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En la tabla de cubos, elige el grupo en el que se guardarán tus Autoridad de certificación privada de AWS activos.

  3. En la página del bucket, elija la pestaña Properties (Propiedades).

  4. Elija la tarjeta Default encryption (Cifrado predeterminado) .

  5. Seleccione Habilitar.

  6. Elija la AWS Key Management Service clave (SSE-KMS).

  7. Elige entre tus AWS KMS claves o Ingresa el AWS KMS key ARN.

  8. Elija Save changes (Guardar cambios).

  9. (Opcional) Si aún no tiene una clave de KMS, cree una con el siguiente comando create-key de AWS CLI :

    $ aws kms create-key

    La salida contiene la ID de clave y el nombre de recurso de Amazon (ARN) de la clave de KMS. El siguiente es un ejemplo de salida:

    {
    "KeyMetadata": {
        "KeyId": "01234567-89ab-cdef-0123-456789abcdef",
        "Description": "",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1478910250.94,
        "Arn": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef",
        "AWSAccountId": "123456789012"
    }
}

  10. Mediante los siguientes pasos, usted otorga al principal del Autoridad de certificación privada de AWS servicio permiso para usar la clave KMS. De forma predeterminada, todas las claves de KMS son privadas; solo el propietario del recurso puede utilizarlo para cifrar y descifrar datos. Sin embargo, el propietario del recurso puede conceder permisos para que otros usuarios y recursos accedan a la clave de KMS. Esta entidad principal del servicio debe estar en la misma región en la que está almacenada la clave de KMS.

    1. En primer lugar, guarde la política predeterminada para su clave KMS policy.json mediante el siguiente get-key-policycomando:

      $ aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json

    2. Abra el archivo policy.json en un editor de texto. Seleccione una de las siguientes declaraciones de política y agréguela a la política existente.

      Si su clave de bucket de Amazon S3 está habilitada, utilice la siguiente declaración:

      {
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":"arn:aws:s3:::bucket-name"
      }
   }
}

      Si su clave de bucket de Amazon S3 está deshabilitada, utilice la siguiente declaración:

      {
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":[
            "arn:aws:s3:::bucket-name/acm-pca-permission-test-key",
            "arn:aws:s3:::bucket-name/acm-pca-permission-test-key-private",
            "arn:aws:s3:::bucket-name/audit-report/*",
            "arn:aws:s3:::bucket-name/crl/*"
         ]
      }
   }
}

    3. Por último, aplique la política actualizada mediante el siguiente put-key-policycomando:

      $ aws kms put-key-policy --key-id key_id --policy-name default --policy file://policy.json