Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Gunakan laporan audit dengan CA pribadi Anda
Anda dapat membuat laporan audit untuk mencantumkan semua sertifikat yang telah dikeluarkan atau dicabut oleh CA privat Anda. Laporan disimpan di bucket S3 baru atau yang sudah ada yang Anda tentukan pada input.
Untuk informasi tentang cara menambahkan perlindungan enkripsi ke laporan audit Anda, lihat Mengenkripsi laporan audit .
File laporan audit memiliki jalur dan nama file berikut. Bucket Amazon S3 ARN untuk Amazon S3 adalah nilainya. amzn-s3-demo-bucket
CA_ID
adalah pengidentifikasi unik dari CA penerbit. UUID
adalah pengidentifikasi unik dari laporan audit.
amzn-s3-demo-bucket
/audit-report/CA_ID
/UUID
.[json|csv]
Anda dapat membuat laporan baru setiap 30 menit dan mengunduhnya dari bucket Anda. Contoh berikut menunjukkan laporan CSV -separated.
awsAccountId,requestedByServicePrincipal,certificateArn,serial,subject,notBefore,notAfter,issuedAt,revokedAt,revocationReason,templateArn
123456789012,,arn:aws:acm-pca:region
:account
:certificate-authority/CA_ID
/certificate/certificate_ID
,00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4e5f6a,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T21:43:57+0000,2020-04-07T22:43:57+0000,2020-03-02T22:43:58+0000,,UNSPECIFIED,arn:aws:acm-pca:::template/EndEntityCertificate/V1
123456789012,acm.amazonaws.com,arn:aws:acm-pca:region
:account
:certificate-authority/CA_ID
/certificate/certificate_ID
,ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T20:53:39+0000,2020-04-07T21:53:39+0000,2020-03-02T21:53:40+0000,,,arn:aws:acm-pca:::template/EndEntityCertificate/V1
Contoh berikut menunjukkan laporan JSON -format.
[
{
"awsAccountId":"123456789012",
"certificateArn":"arn:aws:acm-pca:region
:account
:certificate-authority/CA_ID
/certificate/certificate_ID
",
"serial":"00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff",
"subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2020-02-26T18:39:57+0000",
"notAfter":"2021-02-26T19:39:57+0000",
"issuedAt":"2020-02-26T19:39:58+0000",
"revokedAt":"2020-02-26T20:00:36+0000",
"revocationReason":"UNSPECIFIED",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
},
{
"awsAccountId":"123456789012",
"requestedByServicePrincipal":"acm.amazonaws.com",
"certificateArn":"arn:aws:acm-pca:region
:account
:certificate-authority/CA_ID
/certificate/certificate_ID
",
"serial":"ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00",
"subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2020-01-22T20:10:49+0000",
"notAfter":"2021-01-17T21:10:49+0000",
"issuedAt":"2020-01-22T21:10:49+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
]
catatan
Saat AWS Certificate Manager memperbarui sertifikat, laporan audit CA pribadi mengisi requestedByServicePrincipal
bidang dengan. acm.amazonaws.com
Ini menunjukkan bahwa AWS Certificate Manager layanan disebut IssueCertificate
tindakan AWS Private CA API atas nama pelanggan untuk memperbarui sertifikat.
Siapkan bucket Amazon S3 untuk laporan audit
penting
AWS Private CA tidak mendukung penggunaan Amazon S3 Object Lock. Jika Anda mengaktifkan Object Lock di bucket, Anda AWS Private CA tidak dapat menulis laporan audit ke bucket.
Untuk menyimpan laporan audit, Anda perlu menyiapkan bucket Amazon S3. Untuk informasi selengkapnya, lihat Bagaimana Cara Membuat bucket S3?
Bucket S3 Anda harus diamankan dengan kebijakan izin yang memungkinkan AWS Private CA untuk mengakses dan menulis ke bucket S3 yang Anda tentukan. Pengguna resmi dan kepala layanan memerlukan Put
izin AWS Private CA untuk mengizinkan menempatkan objek di ember, dan Get
izin untuk mengambilnya. Kami menyarankan Anda menerapkan kebijakan yang ditunjukkan di bawah ini, yang membatasi akses ke AWS akun dan CA pribadi. ARN Atau, Anda dapat menggunakan kunci kondisi aws: SourceOrg ID untuk membatasi akses ke organisasi tertentu di AWS Organizations. Untuk informasi selengkapnya tentang kebijakan bucket, lihat Kebijakan Bucket untuk Amazon Simple Storage Service.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "s3:PutObject", "s3:PutObjectAcl", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource":[ "arn:aws:s3:::
amzn-s3-demo-bucket
/*", "arn:aws:s3:::amzn-s3-demo-bucket1
" ], "Condition":{ "StringEquals":{ "aws:SourceAccount":"111122223333
", "aws:SourceArn":"arn:partition:acm-pca:region:111122223333
:certificate-authority/CA_ID
" } } } ] }
Membuat laporan audit
Anda dapat membuat laporan audit baik dari konsol tersebut atau AWS CLI.
Untuk membuat laporan audit (konsol)
-
Masuk ke AWS akun Anda dan buka AWS Private CA konsol di https://console.aws.amazon.com/acm-pca/rumah
. -
Pada halaman Private Certificate Authories, pilih CA pribadi Anda dari daftar.
-
Dari menu Tindakan, pilih Hasilkan laporan audit.
-
Di bawah tujuan laporan Audit, untuk Buat bucket S3 baru? , pilih Ya dan ketik nama bucket unik, atau pilih Tidak dan pilih bucket yang ada dari daftar.
Jika Anda memilih Ya, AWS Private CA buat dan lampirkan kebijakan default ke bucket Anda. Kebijakan default menyertakan kunci
aws:SourceAccount
kondisi, yang membatasi akses ke AWS akun tertentu. Jika ingin membatasi akses lebih lanjut, Anda dapat menambahkan kunci kondisi lain ke kebijakan seperti pada contoh sebelumnya.Jika Anda memilih Tidak, Anda harus melampirkan kebijakan ke bucket agar dapat membuat laporan audit. Gunakan pola kebijakan yang dijelaskan dalamSiapkan bucket Amazon S3 untuk laporan audit. Untuk informasi tentang melampirkan kebijakan, lihat Menambahkan kebijakan bucket menggunakan konsol Amazon S3.
-
Di bawah format Output, pilih JSONuntuk JavaScript Object Notation atau CSVuntuk nilai yang dipisahkan koma.
-
Pilih Hasilkan laporan audit.
Untuk membuat laporan audit (AWS CLI)
-
Jika Anda belum memiliki bucket S3 untuk digunakan, buat satu.
-
Lampirkan kebijakan ke bucket Anda Gunakan pola kebijakan yang dijelaskan dalamSiapkan bucket Amazon S3 untuk laporan audit. Untuk informasi tentang melampirkan kebijakan, lihat Menambahkan kebijakan bucket menggunakan konsol Amazon S3
-
Gunakan perintah create-certificate-authority-audit-report untuk membuat laporan audit dan menempatkannya di bucket S3 yang sudah disiapkan.
$
aws acm-pca create-certificate-authority-audit-report \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --s3-bucket-nameamzn-s3-demo-bucket
\ --audit-report-response-format JSON
Mengambil laporan audit
Untuk mengambil laporan audit untuk diperiksa, gunakan konsol Amazon S3API,,CLI, atau. SDK Untuk informasi selengkapnya, lihat Mengunduh objek di Panduan Pengguna Amazon Simple Storage Service.
Mengenkripsi laporan audit
Anda dapat mengonfigurasi enkripsi secara opsional di bucket Amazon S3 yang berisi laporan audit Anda. AWS Private CA mendukung dua mode enkripsi untuk aset di S3:
-
Enkripsi sisi server otomatis dengan kunci -256 yang dikelola Amazon AES S3.
-
Enkripsi terkelola pelanggan menggunakan AWS Key Management Service dan AWS KMS key dikonfigurasi dengan spesifikasi Anda.
catatan
AWS Private CA tidak mendukung penggunaan KMS kunci default yang dihasilkan secara otomatis oleh S3.
Prosedur berikut menjelaskan cara menyiapkan setiap opsi enkripsi.
Untuk mengkonfigurasi enkripsi otomatis
Selesaikan langkah-langkah berikut untuk mengaktifkan enkripsi sisi server S3.
Buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/
-
Di tabel Bucket, pilih ember yang akan menampung AWS Private CA aset Anda.
-
Pada halaman untuk bucket Anda, pilih tab Properti.
-
Pilih kartu Enkripsi default.
-
Pilih Aktifkan.
-
Pilih tombol Amazon S3 (SSE-S3).
-
Pilih Simpan Perubahan.
Untuk mengkonfigurasi enkripsi kustom
Selesaikan langkah-langkah berikut untuk mengaktifkan enkripsi menggunakan kunci kustom.
Buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/
-
Di tabel Bucket, pilih ember yang akan menampung AWS Private CA aset Anda.
-
Pada halaman untuk bucket Anda, pilih tab Properti.
-
Pilih kartu Enkripsi default.
-
Pilih Aktifkan.
-
Pilih AWS Key Management Service kunci (SSE-KMS).
-
Pilih salah satu Pilih dari AWS KMS kunci Anda atau Enter AWS KMS key ARN.
-
Pilih Simpan Perubahan.
-
(Opsional) Jika Anda belum memiliki KMS kunci, buat satu menggunakan perintah AWS CLI create-key berikut:
$
aws kms create-key
Output berisi ID kunci dan Amazon Resource Name (ARN) dari KMS kunci. Berikut ini adalah contoh output:
{ "KeyMetadata": { "KeyId": "01234567-89ab-cdef-0123-456789abcdef", "Description": "", "Enabled": true, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1478910250.94, "Arn": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef", "AWSAccountId": "123456789012" } }
-
Dengan menggunakan langkah-langkah berikut, Anda memberikan izin kepada kepala AWS Private CA layanan untuk menggunakan KMS kunci. Secara default, semua KMS kunci bersifat pribadi; hanya pemilik sumber daya yang dapat menggunakan KMS kunci untuk mengenkripsi dan mendekripsi data. Namun, pemilik sumber daya dapat memberikan izin untuk mengakses KMS kunci ke pengguna dan sumber daya lain. Prinsipal layanan harus berada di Wilayah yang sama dengan tempat KMS kunci disimpan.
-
Pertama, simpan kebijakan default untuk KMS kunci Anda seperti
policy.json
menggunakan get-key-policyperintah berikut:$
aws kms get-key-policy --key-id
key-id
--policy-name default --output text > ./policy.json -
Buka file
policy.json
di editor teks. Pilih salah satu pernyataan kebijakan berikut dan tambahkan ke kebijakan yang ada.Jika kunci bucket Amazon S3 diaktifkan, gunakan pernyataan berikut:
{ "Sid":"Allow ACM-PCA use of the key", "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource":"*", "Condition":{ "StringLike":{ "kms:EncryptionContext:aws:s3:arn":"arn:aws:s3:::
bucket-name
" } } }Jika kunci bucket Amazon S3 dinonaktifkan, gunakan pernyataan berikut:
{ "Sid":"Allow ACM-PCA use of the key", "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource":"*", "Condition":{ "StringLike":{ "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::
bucket-name
/acm-pca-permission-test-key", "arn:aws:s3:::bucket-name
/acm-pca-permission-test-key-private", "arn:aws:s3:::bucket-name
/audit-report/*", "arn:aws:s3:::bucket-name
/crl/*" ] } } } -
Terakhir, terapkan kebijakan yang diperbarui menggunakan put-key-policyperintah berikut:
$
aws kms put-key-policy --key-id
key_id
--policy-name default --policy file://policy.json
-