Autorité de certification privée AWS meilleures pratiques - AWS Private Certificate Authority

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorité de certification privée AWS meilleures pratiques

Les meilleures pratiques sont des recommandations qui peuvent vous aider à Autorité de certification privée AWS les utiliser efficacement. Les meilleures pratiques suivantes sont basées sur l'expérience réelle des clients actuels AWS Certificate Manager et des Autorité de certification privée AWS clients.

Documenter la structure et les politiques de l'AC

AWS recommande de documenter l'ensemble de vos politiques et pratiques relatives au fonctionnement de votre autorité de certification. Cela pourrait inclure :

  • Raisonnement de vos décisions sur la structure de l'autorité de certification

  • Un diagramme illustrant vos relations CAs et les leurs

  • Politiques sur les périodes de validité de l'autorité de certification

  • Planification de la relève de l'autorité de certification

  • Stratégies sur la longueur du chemin d'accès

  • Catalogue des autorisations

  • Description des structures de contrôle administratif

  • Sécurité

Vous pouvez saisir ces informations dans deux documents, appelés Politique de certification (CP) et Déclaration des pratiques de certification (CPS). Reportez-vous à RFC 3647 pour obtenir un cadre permettant de capturer des informations importantes sur vos opérations de l'autorité de certification.

Minimisez l'utilisation de l'autorité de certification racine si possible

Une autorité de certification racine ne doit généralement être utilisée que pour délivrer des certificats pour les intermédiaires CAs. Cela permet à l'autorité de certification racine d'être stockée à l'abri du danger pendant que l'intermédiaire CAs effectue la tâche quotidienne d'émission des certificats d'entité finale.

Toutefois, si la pratique actuelle de votre entreprise consiste à délivrer des certificats d'entité finale directement à partir d'une autorité de certification racine, Autorité de certification privée AWS vous pouvez prendre en charge ce flux de travail tout en améliorant la sécurité et les contrôles opérationnels. L'émission de certificats d'entité finale dans ce scénario exige une stratégie d'autorisations IAM qui permet à votre autorité de certification racine d'utiliser un modèle de certificat d'entité finale. Pour obtenir des informations sur les stratégies IAM, veuillez consulter Identity and Access Management (IAM) pour AWS Private Certificate Authority.

Note

Cette configuration impose des limites qui peuvent entraîner des problèmes opérationnels. Par exemple, si votre autorité de certification racine est compromise ou perdue, vous devez créer une nouvelle autorité de certification racine et la distribuer à tous les clients de votre environnement. Tant que ce processus de récupération n'est pas terminé, vous ne pourrez pas émettre de nouveaux certificats. L'émission de certificats directement à partir d'une autorité de certification racine vous empêche également de restreindre l'accès et de limiter le nombre de certificats émis à partir de votre racine, qui sont toutes deux considérées comme des bonnes pratiques pour la gestion d'une autorité de certification racine.

Donnez à l'autorité de certification racine la sienne Compte AWS

La création d'une autorité de certification racine et d'une autorité de certification subordonnée dans deux AWS comptes différents est une bonne pratique recommandée. Cela peut vous fournir une protection et des contrôles d'accès supplémentaires pour votre autorité de certification racine. Vous pouvez le faire en exportant la demande de signature de certificat à partir de l'autorité de certification subordonnée dans un compte et en la signant avec une autorité de certification racine dans un autre compte. L'avantage de cette approche est que vous pouvez séparer le contrôle de votre compte CAs par compte. L'inconvénient est que vous ne pouvez pas utiliser l' AWS Management Console assistant pour simplifier le processus de signature du certificat de l'autorité de certification d'une autorité de certification subordonnée à partir de votre autorité de certification racine.

Important

Nous vous recommandons vivement d'utiliser l'authentification multifactorielle (MFA) à chaque fois que vous y accédez. Autorité de certification privée AWS

Rôles d'administrateur et d'émetteur distincts

Le rôle d'administrateur de l'autorité de certification doit être distinct de celui des utilisateurs qui doivent uniquement émettre des certificats d'entité finale. Si l'administrateur de l'autorité de certification et l'émetteur du certificat résident dans le même Compte AWSétablissement, vous pouvez limiter les autorisations de l'émetteur en créant un utilisateur IAM spécialement à cette fin.

Mettre en œuvre la révocation gérée des certificats

La révocation gérée avertit automatiquement les clients du certificat lorsqu'un certificat a été révoqué. Vous devrez peut-être révoquer un certificat si ses informations cryptographiques ont été compromises ou s'il a été émis par erreur. Les clients refusent généralement d'accepter les certificats révoqués. Autorité de certification privée AWS propose deux options standard pour la gestion des révocations : le protocole OCSP (Online Certificate Status Protocol) et les listes de révocation de certificats (). CRLs Pour de plus amples informations, veuillez consulter Planifiez la méthode de révocation de votre AWS Private CA certificat.

Allumez AWS CloudTrail

Activez la CloudTrail journalisation avant de créer et de commencer à exploiter une autorité de certification privée. Vous pouvez ainsi récupérer l'historique des appels d' AWS API pour votre compte afin de surveiller vos AWS déploiements. CloudTrail Cet historique inclut les appels d'API effectués depuis les AWS Management Console services, les AWS SDKs AWS Command Line Interface, et les services de niveau supérieur AWS . Vous pouvez également identifier les utilisateurs et les comptes qui ont appelé les opérations d'API PCA, l'adresse IP source d'origine des appels, ainsi que le moment où les appels ont eu lieu. Vous pouvez CloudTrail intégrer des applications à l'aide de l'API, automatiser la création de traces pour votre organisation, vérifier l'état de vos pistes et contrôler la manière dont les administrateurs activent et désactivent la CloudTrail connexion. Pour plus d'informations, consultez Création d'un journal d’activité. Accédez à pour Enregistrement des appels AWS Private Certificate Authority d'API à l'aide de AWS CloudTrail voir des exemples de parcours pour les Autorité de certification privée AWS opérations.

Faites pivoter la clé privée CA

Il est recommandé de mettre à jour régulièrement la clé privée de votre autorité de certification privée. Vous pouvez mettre à jour une clé en important un nouveau certificat d'une autorité de certification ou en remplaçant l'autorité de certification privée par une nouvelle autorité de certification.

Note

Si vous remplacez l'autorité de certification elle-même, sachez que l'ARN de l'autorité de certification change. Cela provoquerait l'échec de l'automatisation basée sur un ARN codé en dur.

Supprimer les éléments non utilisés CAs

Vous pouvez supprimer définitivement une autorité de certification privée. Notamment si vous n'avez plus besoin de l'autorité de certification ou si vous souhaitez la remplacer par une autorité de certification avec une clé privée plus récente. Pour supprimer en toute sécurité une autorité de certification, nous vous conseillons de suivre le processus décrit dans Supprimer votre autorité de certification privée.

Note

AWS vous facture une CA jusqu'à ce qu'elle soit supprimée.

Bloquez l'accès public à votre CRLs

Autorité de certification privée AWS recommande d'utiliser la fonctionnalité Block Public Access (BPA) d'Amazon S3 sur les compartiments contenant. CRLs Cela évite d'exposer inutilement les détails de votre PKI privée à des adversaires potentiels. Le BPA est une bonne pratique S3 et est activé par défaut sur les nouveaux buckets. Une configuration supplémentaire est nécessaire dans certains cas. Pour de plus amples informations, veuillez consulter Activez l'accès public par blocs S3 (BPA) avec CloudFront.

Bonnes pratiques relatives aux applications Amazon EKS

Lorsque vous l'utilisez Autorité de certification privée AWS pour approvisionner Amazon EKS avec des certificats X.509, suivez les recommandations relatives à la sécurisation des environnements à locataires multiples figurant dans les guides des meilleures pratiques Amazon EKS. Pour des informations générales sur l'intégration Autorité de certification privée AWS à Kubernetes, consultez. Sécurisez Kubernetes avec Autorité de certification privée AWS