AWS Private CA praktik terbaik - AWS Private Certificate Authority
Mendokumentasikan struktur dan kebijakan CAMinimalkan penggunaan CA akar jika memungkinkan Berikan root CA miliknya sendiri Akun AWSPeran administrator dan penerbit terpisahMelaksanakan pencabutan sertifikat yang dikelolaNyalakan AWS CloudTrailMemutar kunci privat CAHapus yang tidak digunakan CAsBlokir akses publik ke CRLsPraktik terbaik EKS aplikasi Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Private CA praktik terbaik

Praktik terbaik adalah rekomendasi yang dapat membantu Anda menggunakannya AWS Private CA secara efektif. Praktik terbaik berikut didasarkan pada pengalaman dunia nyata dari saat ini AWS Certificate Manager dan AWS Private CA pelanggan.

Mendokumentasikan struktur dan kebijakan CA

AWS merekomendasikan untuk mendokumentasikan semua kebijakan dan praktik Anda untuk mengoperasikan CA Anda. Ini mungkin termasuk:

  • Penalaran untuk keputusan Anda tentang struktur CA

  • Diagram yang menunjukkan hubungan Anda CAs dan mereka

  • Kebijakan tentang masa validasi CA

  • Merencanakan suksesi CA

  • Kebijakan pada panjang jalur

  • Izin katalog

  • Deskripsi struktur kontrol administratif

  • Keamanan

Anda dapat menangkap informasi ini dalam dua dokumen, yang dikenal sebagai Kebijakan Sertifikasi (CP) dan Pernyataan Praktik Sertifikasi (CPS). Lihat RFC3647 untuk kerangka kerja untuk menangkap informasi penting tentang operasi CA Anda.

Minimalkan penggunaan CA akar jika memungkinkan

CA root pada umumnya hanya boleh digunakan untuk menerbitkan sertifikat untuk perantaraCAs. Hal ini memungkinkan CA root disimpan di luar bahaya sementara perantara CAs melakukan tugas harian menerbitkan sertifikat entitas akhir.

Namun, jika praktik organisasi Anda saat ini adalah menerbitkan sertifikat entitas akhir langsung dari root CA, AWS Private CA dapat mendukung alur kerja ini sekaligus meningkatkan keamanan dan kontrol operasional. Menerbitkan sertifikat entitas akhir dalam skenario ini memerlukan kebijakan IAM izin yang mengizinkan CA root Anda menggunakan templat sertifikat entitas akhir. Untuk informasi tentang IAM kebijakan, lihatIdentity and Access Management (IAM) untuk AWS Private Certificate Authority.

catatan

Konfigurasi ini memberlakukan batasan yang dapat mengakibatkan tantangan operasional. Misalnya, jika CA akar Anda disusupi atau hilang, Anda harus membuat CA akar baru dan mendistribusikannya ke semua klien di lingkungan Anda. Sampai proses pemulihan ini selesai, Anda tidak akan dapat menerbitkan sertifikat baru. Penerbitan sertifikat langsung dari CA akar juga mencegah Anda membatasi akses dan membatasi jumlah sertifikat yang dikeluarkan dari akar Anda, yang keduanya dianggap sebagai praktik terbaik untuk mengelola CA akar.

Berikan root CA miliknya sendiri Akun AWS

Membuat CA root dan CA bawahan dalam dua AWS akun berbeda adalah praktik terbaik yang direkomendasikan. Melakukannya dapat memberi Anda perlindungan tambahan dan kontrol akses untuk CA akar Anda. Anda dapat melakukannya dengan mengekspor CA CSR dari bawahan dalam satu akun, dan menandatanganinya dengan CA root di akun yang berbeda. Manfaat dari pendekatan ini adalah Anda dapat memisahkan kendali atas akun AndaCAs. Kerugiannya adalah Anda tidak dapat menggunakan AWS Management Console wizard untuk menyederhanakan proses penandatanganan sertifikat CA CA CA bawahan dari CA root Anda.

penting

Kami sangat menyarankan penggunaan otentikasi multi-faktor (MFA) setiap kali Anda mengakses. AWS Private CA

Peran administrator dan penerbit terpisah

Peran administrator CA harus terpisah dari pengguna yang hanya perlu menerbitkan sertifikat entitas akhir. Jika administrator CA dan penerbit sertifikat berada di tempat yang sama Akun AWS, Anda dapat membatasi izin penerbit dengan membuat IAM pengguna khusus untuk tujuan tersebut.

Melaksanakan pencabutan sertifikat yang dikelola

Pencabutan terkelola secara otomatis memberikan pemberitahuan kepada klien sertifikat ketika sertifikat telah dicabut. Anda mungkin perlu mencabut sertifikat jika informasi kriptografinya telah dikompromikan atau jika dikeluarkan karena kesalahan. Klien biasanya menolak untuk menerima sertifikat yang dicabut. AWS Private CA menawarkan dua opsi standar untuk pencabutan terkelola: Protokol Status Sertifikat Online (OCSP), dan daftar pencabutan sertifikat (). CRLs Untuk informasi selengkapnya, lihat Rencanakan metode pencabutan AWS Private CA sertifikat Anda.

Nyalakan AWS CloudTrail

Aktifkan CloudTrail logging sebelum Anda membuat dan mulai mengoperasikan CA pribadi. Dengan CloudTrail, Anda dapat mengambil riwayat AWS API panggilan untuk akun Anda untuk memantau AWS penerapan Anda. Riwayat ini mencakup API panggilan yang dibuat dari AWS Management Console, AWS SDKs layanan AWS Command Line Interface, dan tingkat yang lebih tinggi AWS . Anda juga dapat mengidentifikasi pengguna dan akun mana yang disebut PCA API operasi, alamat IP sumber tempat panggilan dibuat, dan kapan panggilan terjadi. Anda dapat mengintegrasikan CloudTrail ke dalam aplikasi menggunakanAPI, mengotomatiskan pembuatan jejak untuk organisasi Anda, memeriksa status jejak Anda, dan mengontrol cara administrator mengaktifkan dan menonaktifkan CloudTrail log. Untuk informasi lebih lanjut, lihat Membuat Jejak. Pergi ke Pencatatan AWS Private Certificate Authority API panggilan menggunakan AWS CloudTrail untuk melihat contoh jejak untuk AWS Private CA operasi.

Memutar kunci privat CA

Ini adalah praktik terbaik untuk memperbarui kunci privat untuk CA privat Anda secara berkala. Anda dapat memperbarui kunci dengan mengimpor sertifikat CA baru, atau Anda dapat mengganti CA privat dengan CA baru.

catatan

Jika Anda mengganti CA itu sendiri, ketahuilah bahwa CA berubah. ARN Ini akan menyebabkan otomatisasi yang mengandalkan kode keras gagalARN.

Hapus yang tidak digunakan CAs

Anda dapat menghapus CA privat secara permanen. Anda mungkin ingin melakukannya jika Anda tidak lagi membutuhkan CA atau jika Anda ingin menggantinya dengan CA yang memiliki kunci privat yang lebih baru. Untuk menghapus CA dengan aman, kami sarankan Anda mengikuti proses yang diuraikan dalam Hapus CA pribadi Anda.

catatan

AWS menagih Anda untuk CA sampai dihapus.

Blokir akses publik ke CRLs

AWS Private CA merekomendasikan penggunaan fitur Amazon S3 Block Public Access (BPA) pada bucket yang berisi. CRLs Ini menghindari mengekspos detail pribadi Anda yang tidak perlu PKI kepada musuh potensial. BPAadalah praktik terbaik S3 dan diaktifkan secara default pada bucket baru. Pengaturan tambahan diperlukan dalam beberapa kasus. Untuk informasi selengkapnya, lihat Aktifkan S3 Block Public Access (BPA) dengan CloudFront.

Praktik terbaik EKS aplikasi Amazon

Saat menggunakan AWS Private CA untuk menyediakan Amazon EKS dengan sertifikat X.509, ikuti rekomendasi untuk mengamankan lingkungan multi-penyewa di Panduan Praktik Terbaik Amazon. EKS Untuk informasi umum tentang integrasi AWS Private CA dengan Kubernetes, lihat. Amankan Kubernetes dengan AWS Private CA