Configurer pour utiliser AWS Certificate Manager - AWS Certificate Manager
Inscrivez-vous pour un Compte AWSCréation d'un utilisateur doté d'un accès administratifEnregistrement d'un nom de domaine(Facultatif) Configurer un CAA enregistrement

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer pour utiliser AWS Certificate Manager

Avec AWS Certificate Manager (ACM) vous pouvez fournir et gérer SSL des TLS certificats pour votre AWS sites Web et applications basés. Vous pouvez l'ACMutiliser pour créer ou importer puis gérer un certificat. Vous devez utiliser un autre AWS services permettant de déployer le certificat sur votre site Web ou votre application. Pour plus d'informations sur les services intégrés àACM, consultezServices intégrés à ACM. Les sections suivantes décrivent les étapes à suivre avant de l'utiliserACM.

Inscrivez-vous pour un Compte AWS

Si vous n'avez pas de Compte AWS, procédez comme suit pour en créer un.

Pour vous inscrire à un Compte AWS

  1. Ouvrez l'https://portal.aws.amazon.com/billing/inscription.

  2. Suivez les instructions en ligne.

    Dans le cadre de la procédure d‘inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

    Lorsque vous vous inscrivez à un Compte AWS, une Utilisateur racine d'un compte AWSest créé. L'utilisateur root a accès à tous Services AWS et les ressources du compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l‘utilisateur racine pour effectuer les tâches nécessitant un accès utilisateur racine.

AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. À tout moment, vous pouvez consulter l'activité actuelle de votre compte et gérer votre compte en accédant à https://aws.amazon.com/et en choisissant Mon compte.

Création d'un utilisateur doté d'un accès administratif

Après avoir souscrit à un Compte AWS, sécurisez votre Utilisateur racine d'un compte AWS, activer AWS IAM Identity Center, et créez un utilisateur administratif afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.

Sécurisez votre Utilisateur racine d'un compte AWS

  1. Connectez-vous au AWS Management Consoleen tant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre Compte AWS adresse e-mail. Sur la page suivante, saisissez votre mot de passe.

    Pour obtenir de l'aide pour vous connecter à l'aide de l'utilisateur root, consultez la section Connexion en tant qu'utilisateur root dans Connexion à AWS Guide de l'utilisateur.

  2. Activez l'authentification multifactorielle (MFA) pour votre utilisateur root.

    Pour obtenir des instructions, voir Activer un MFA appareil virtuel pour votre Compte AWS utilisateur root (console) dans le guide de IAM l'utilisateur.

Création d'un utilisateur doté d'un accès administratif

  1. Activez IAM Identity Center.

    Pour obtenir des instructions, voir Activation AWS IAM Identity Center dans le .AWS IAM Identity Center Guide de l'utilisateur.

  2. Dans IAM Identity Center, accordez un accès administratif à un utilisateur.

    Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir Configurer l'accès utilisateur avec la valeur par défaut Répertoire IAM Identity Center dans le .AWS IAM Identity Center Guide de l'utilisateur.

Connexion en tant qu‘utilisateur doté d'un accès administratif

  • Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l'URLidentifiant envoyé à votre adresse e-mail lorsque vous avez créé l'utilisateur IAM Identity Center.

    Pour obtenir de l'aide pour vous connecter à l'aide d'un utilisateur d'IAMIdentity Center, consultez la section Connexion au AWS portail d'accès dans le Connexion à AWS Guide de l'utilisateur.

Attribution d'un accès à d'autres utilisateurs

  1. Dans IAM Identity Center, créez un ensemble d'autorisations conforme à la meilleure pratique consistant à appliquer les autorisations du moindre privilège.

    Pour obtenir des instructions, voir Créer un ensemble d'autorisations dans AWS IAM Identity Center Guide de l'utilisateur.

  2. Attribuez des utilisateurs à un groupe, puis attribuez un accès par authentification unique au groupe.

    Pour obtenir des instructions, voir Ajouter des groupes dans AWS IAM Identity Center Guide de l'utilisateur.

Enregistrez un nom de domaine pour ACM

Un nom de domaine complet (FQDN) est le nom unique d'une organisation ou d'un individu sur Internet suivi d'une extension de domaine de premier niveau telle que .com ou .org. Si vous n'avez pas encore de nom de domaine enregistré, vous pouvez en enregistrer un par l'intermédiaire d'Amazon Route 53 ou de dizaines d'autres bureaux d'enregistrement commerciaux. En général, vous accédez au site Web du registre et vous demandez un nom de domaine. L'enregistrement d'un nom de domaine dure généralement pendant une période définie, par exemple un ou deux ans, avant de devoir être renouvelé.

Pour plus d'informations sur l'enregistrement des noms de domaine avec Amazon Route 53, consultez Enregistrement de noms de domaines à l'aide d'Amazon Route 53 dans le Guide du développeur Amazon Route 53.

(Facultatif) Configurer un CAA enregistrement

Un CAA enregistrement indique quelles autorités de certification (CAs) sont autorisées à délivrer des certificats pour un domaine ou un sous-domaine. La création d'un CAA enregistrement à utiliser ACM permet d'éviter que des personnes mal CAs intentionnées ne délivrent des certificats pour vos domaines. Un CAA enregistrement ne remplace pas les exigences de sécurité spécifiées par votre autorité de certification, telles que l'obligation de valider que vous êtes le propriétaire d'un domaine.

Après avoir ACM validé votre domaine pendant le processus de demande de certificat, il vérifie la présence d'un CAA enregistrement afin de s'assurer qu'il peut émettre un certificat pour vous. La configuration d'un CAA enregistrement est facultative.

Utilisez les valeurs suivantes lorsque vous configurez votre CAA enregistrement :

flags (indicateurs)

Spécifie si la valeur du champ de balise est prise en charge parACM. Définissez cette valeur sur 0.

tag (balise)

Le champ tag peut comporter l'une des valeurs suivantes. Notez que le champ iodef est ignoré actuellement.

issue

Indique que l'ACMautorité de certification que vous spécifiez dans le champ de valeur est autorisée à délivrer un certificat pour votre domaine ou sous-domaine.

issuewild

Indique que l'ACMautorité de certification que vous avez spécifiée dans le champ de valeur est autorisée à délivrer un certificat générique pour votre domaine ou sous-domaine. Un certificat générique s'applique au domaine ou sous-domaine et à tous ses sous-domaines.

valeur

La valeur de ce champ dépend de la valeur du champ tag. Vous devez placer cette valeur entre guillemets ("").

Lors de la valeur du champ tag est issue

Le champ value contient le nom de domaine de l'autorité de certification (CA). Ce champ peut contenir le nom d'une CA autre qu'une CA Amazon. Toutefois, si vous ne disposez pas d'un CAA enregistrement spécifiant l'un des quatre Amazon suivantsCAs, vous ACM ne pouvez pas délivrer de certificat pour votre domaine ou sous-domaine :

  • amazon.com

  • amazontrust.com

  • awstrust.com

  • amazonaws.com

Le champ de valeur peut également contenir un point-virgule (;) pour indiquer qu'aucune CA ne doit être autorisée à émettre un certificat pour votre domaine ou sous-domaine. Utilisez ce champ si vous décidez à un moment donné que vous ne souhaitez plus recevoir un certificat émis pour un domaine particulier.

Lors de la valeur de tag est issuewild

Le champ value est le même que lorsque la valeur de tag est issue, sauf que la valeur s'applique aux certificats génériques.

Lorsqu'un CAA enregistrement issuewild n'inclut pas de valeur ACM CA, aucun joker ne peut être émis par. ACM Si aucun issuewild n'est présent, mais qu'il existe un CAA historique de problèmeACM, des jokers peuvent être émis par. ACM

Exemple CAAExemples d'enregistrements

Dans les exemples suivants, votre nom de domaine vient en premier, suivi du type d'enregistrement (CAA). Le champ flags a toujours la valeur 0. Le champ tags peut avoir pour valeur issue ou issuewild. Si le champ est un problème et que vous tapez le nom de domaine d'un serveur CA dans le champ de valeur, l'CAAenregistrement indique que le serveur que vous avez spécifié est autorisé à délivrer le certificat demandé. Si vous tapez un point-virgule « ; » dans le champ de valeur, l'CAAenregistrement indique qu'aucune autorité de certification n'est autorisée à délivrer un certificat. La configuration des CAA enregistrements varie selon le DNS fournisseur. 

Domain       Record type  Flags  Tag      Value   
example.com.   CAA            0        issue      "SomeCA.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazon.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazontrust.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "awstrust.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazonaws.com"
Domain       Record type  Flags  Tag      Value 
example.com    CAA            0        issue      ";"

Pour plus d'informations sur la façon d'ajouter ou de modifier DNS des enregistrements, contactez votre DNS fournisseur. Route 53 prend en charge CAA les enregistrements. Si Route 53 est votre DNS fournisseur, consultez CAAFormat pour plus d'informations sur la création d'un enregistrement.