Autorité de certification privée AWS meilleures pratiques - AWS Private Certificate Authority
Documenter la structure et les politiques de l'ACMinimisez l'utilisation de l'autorité de certification racine si possible Donnez à l'autorité de certification racine la sienne Compte AWSRôles d'administrateur et d'émetteur distinctsMettre en œuvre la révocation gérée des certificatsAllumez AWS CloudTrailFaites pivoter la clé privée CASupprimer les éléments non utilisés CAsBloquez l'accès public à votre CRLsBonnes pratiques relatives aux EKS applications Amazon

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorité de certification privée AWS meilleures pratiques

Les meilleures pratiques sont des recommandations qui peuvent vous aider à Autorité de certification privée AWS les utiliser efficacement. Les meilleures pratiques suivantes sont basées sur l'expérience réelle des clients actuels AWS Certificate Manager et des Autorité de certification privée AWS clients.

Documenter la structure et les politiques de l'AC

AWS recommande de documenter l'ensemble de vos politiques et pratiques relatives au fonctionnement de votre autorité de certification. Cela pourrait inclure :

  • Raisonnement de vos décisions sur la structure de l'autorité de certification

  • Un diagramme illustrant vos relations CAs et les leurs

  • Politiques sur les périodes de validité de l'autorité de certification

  • Planification de la relève de l'autorité de certification

  • Stratégies sur la longueur du chemin d'accès

  • Catalogue des autorisations

  • Description des structures de contrôle administratif

  • Sécurité

Vous pouvez saisir ces informations dans deux documents, appelés Politique de certification (CP) et Déclaration des pratiques de certification (CPS). Reportez-vous à la section RFC3647 pour un cadre permettant de capturer des informations importantes sur les opérations de votre autorité de certification.

Minimisez l'utilisation de l'autorité de certification racine si possible

Une autorité de certification racine ne doit généralement être utilisée que pour délivrer des certificats pour les intermédiairesCAs. Cela permet à l'autorité de certification racine d'être stockée à l'abri du danger pendant que l'intermédiaire CAs effectue la tâche quotidienne d'émission des certificats d'entité finale.

Toutefois, si la pratique actuelle de votre entreprise consiste à délivrer des certificats d'entité finale directement à partir d'une autorité de certification racine, Autorité de certification privée AWS vous pouvez prendre en charge ce flux de travail tout en améliorant la sécurité et les contrôles opérationnels. Dans ce scénario, l'émission de certificats d'entité finale nécessite une politique d'IAMautorisation qui autorise votre autorité de certification racine à utiliser un modèle de certificat d'entité finale. Pour plus d'informations sur IAM les politiques, consultezIdentity and Access Management (IAM) pour AWS Private Certificate Authority.

Note

Cette configuration impose des limites qui peuvent entraîner des problèmes opérationnels. Par exemple, si votre autorité de certification racine est compromise ou perdue, vous devez créer une nouvelle autorité de certification racine et la distribuer à tous les clients de votre environnement. Tant que ce processus de récupération n'est pas terminé, vous ne pourrez pas émettre de nouveaux certificats. L'émission de certificats directement à partir d'une autorité de certification racine vous empêche également de restreindre l'accès et de limiter le nombre de certificats émis à partir de votre racine, qui sont toutes deux considérées comme des bonnes pratiques pour la gestion d'une autorité de certification racine.

Donnez à l'autorité de certification racine la sienne Compte AWS

La création d'une autorité de certification racine et d'une autorité de certification subordonnée dans deux AWS comptes différents est une bonne pratique recommandée. Cela peut vous fournir une protection et des contrôles d'accès supplémentaires pour votre autorité de certification racine. Vous pouvez le faire en exportant le code CSR depuis l'autorité de certification subordonnée dans un compte et en le signant avec une autorité de certification racine dans un autre compte. L'avantage de cette approche est que vous pouvez séparer le contrôle de votre compte CAs par compte. L'inconvénient est que vous ne pouvez pas utiliser l' AWS Management Console assistant pour simplifier le processus de signature du certificat de l'autorité de certification d'une autorité de certification subordonnée à partir de votre autorité de certification racine.

Important

Nous vous recommandons vivement d'utiliser l'authentification multifactorielle (MFA) à chaque fois que vous accédez Autorité de certification privée AWS.

Rôles d'administrateur et d'émetteur distincts

Le rôle d'administrateur de l'autorité de certification doit être distinct de celui des utilisateurs qui doivent uniquement émettre des certificats d'entité finale. Si l'administrateur de votre autorité de certification et l'émetteur du certificat résident dans le même Compte AWSétablissement, vous pouvez limiter les autorisations de l'émetteur en créant un IAM utilisateur spécialement à cette fin.

Mettre en œuvre la révocation gérée des certificats

La révocation gérée informe automatiquement les clients du certificat lorsqu'un certificat a été révoqué. Vous devrez peut-être révoquer un certificat si ses informations cryptographiques ont été compromises ou s'il a été émis par erreur. Les clients refusent généralement d'accepter les certificats révoqués. Autorité de certification privée AWS propose deux options standard pour la gestion des révocations : le protocole d'état des certificats en ligne (OCSP) et les listes de révocation de certificats (CRLs). Pour de plus amples informations, veuillez consulter Planifiez la méthode de révocation de votre AWS Private CA certificat.

Allumez AWS CloudTrail

Activez la CloudTrail journalisation avant de créer et de commencer à exploiter une autorité de certification privée. Avec CloudTrail, vous pouvez récupérer l'historique des AWS API appels pour votre compte afin de surveiller vos AWS déploiements. Cet historique inclut API les appels passés depuis les AWS Management Console, les AWS SDKs AWS Command Line Interface, et les services de niveau supérieur AWS . Vous pouvez également identifier les utilisateurs et les comptes qui ont effectué les PCA API opérations, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. Vous pouvez CloudTrail intégrer des applications à l'aide deAPI, automatiser la création de traces pour votre organisation, vérifier l'état de vos pistes et contrôler la manière dont les administrateurs activent et désactivent la CloudTrail connexion. Pour plus d'informations, consultez Création d'un journal d’activité. Consultez des exemples Enregistrement des AWS Private Certificate Authority API appels à l'aide de AWS CloudTrail de parcours pour les Autorité de certification privée AWS opérations.

Faites pivoter la clé privée CA

Il est recommandé de mettre à jour régulièrement la clé privée de votre autorité de certification privée. Vous pouvez mettre à jour une clé en important un nouveau certificat d'une autorité de certification ou en remplaçant l'autorité de certification privée par une nouvelle autorité de certification.

Note

Si vous remplacez l'autorité de certification elle-même, sachez que l'autorité ARN de certification change. Cela entraînerait l'échec de l'automatisation basée sur un code ARN en dur.

Supprimer les éléments non utilisés CAs

Vous pouvez supprimer définitivement une autorité de certification privée. Notamment si vous n'avez plus besoin de l'autorité de certification ou si vous souhaitez la remplacer par une autorité de certification avec une clé privée plus récente. Pour supprimer en toute sécurité une autorité de certification, nous vous conseillons de suivre le processus décrit dans Supprimer votre autorité de certification privée.

Note

AWS vous facture une CA jusqu'à ce qu'elle soit supprimée.

Bloquez l'accès public à votre CRLs

Autorité de certification privée AWS recommande d'utiliser la fonctionnalité Amazon S3 Block Public Access (BPA) sur les compartiments contenantCRLs. Cela évite d'exposer inutilement les détails de votre vie privée PKI à des adversaires potentiels. BPAest une bonne pratique S3 et est activée par défaut sur les nouveaux buckets. Une configuration supplémentaire est nécessaire dans certains cas. Pour de plus amples informations, veuillez consulter Activez l'accès public par blocs S3 (BPA) avec CloudFront.

Bonnes pratiques relatives aux EKS applications Amazon

Lorsque vous l'utilisez Autorité de certification privée AWS pour approvisionner Amazon EKS avec des certificats X.509, suivez les recommandations relatives à la sécurisation des environnements à locataires multiples figurant dans les guides des EKSmeilleures pratiques d'Amazon. Pour des informations générales sur l'intégration Autorité de certification privée AWS à Kubernetes, consultez. Sécurisez Kubernetes avec Autorité de certification privée AWS