Utilizza i report di controllo con la tua CA privata - AWS Private Certificate Authority
Prepara un bucket Amazon S3 per i report di controlloCrea un rapporto di controlloRecupera un rapporto di auditCrittografia dei report di controllo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizza i report di controllo con la tua CA privata

È possibile creare un report di audit per elencare i certificati emessi o revocati dalla CA privata. Il report viene salvato in un bucket S3 nuovo o esistente specificato nell'input.

Per informazioni sull'aggiunta della protezione di crittografia ai report di audit, consulta Crittografia dei report di controllo .

Il file del rapporto di controllo ha il percorso e il nome di file seguenti. Il ARN valore per un bucket Amazon S3 è il valore per. amzn-s3-demo-bucket CA_IDè l'identificatore univoco di una CA emittente. UUIDè l'identificatore univoco di un rapporto di audit. 

amzn-s3-demo-bucket/audit-report/CA_ID/UUID.[json|csv]

È possibile generare un nuovo report ogni 30 minuti e scaricarlo dal bucket. L'esempio seguente mostra un rapporto CSV separato da due elementi.

awsAccountId,requestedByServicePrincipal,certificateArn,serial,subject,notBefore,notAfter,issuedAt,revokedAt,revocationReason,templateArn
123456789012,,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4e5f6a,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T21:43:57+0000,2020-04-07T22:43:57+0000,2020-03-02T22:43:58+0000,,UNSPECIFIED,arn:aws:acm-pca:::template/EndEntityCertificate/V1
123456789012,acm.amazonaws.com,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T20:53:39+0000,2020-04-07T21:53:39+0000,2020-03-02T21:53:40+0000,,,arn:aws:acm-pca:::template/EndEntityCertificate/V1

L'esempio seguente mostra un report in JSON formato elettronico. 

[
   {
      "awsAccountId":"123456789012",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff",
      "subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2020-02-26T18:39:57+0000",
      "notAfter":"2021-02-26T19:39:57+0000",
      "issuedAt":"2020-02-26T19:39:58+0000",
      "revokedAt":"2020-02-26T20:00:36+0000",
      "revocationReason":"UNSPECIFIED",
      "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
   },
   {
      "awsAccountId":"123456789012",
      "requestedByServicePrincipal":"acm.amazonaws.com",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00",
      "subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2020-01-22T20:10:49+0000",
      "notAfter":"2021-01-17T21:10:49+0000",
      "issuedAt":"2020-01-22T21:10:49+0000",
      "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
   }
]
Nota

Quando AWS Certificate Manager rinnova un certificato, il rapporto di audit CA privato compila il campo con. requestedByServicePrincipal acm.amazonaws.com Ciò indica che il AWS Certificate Manager servizio ha richiesto l'IssueCertificateintervento del per CA privata AWS API conto di un cliente per rinnovare il certificato.

Prepara un bucket Amazon S3 per i report di controllo

Importante

AWS Private CA non supporta l'uso di Amazon S3 Object Lock. Se attivi Object Lock sul tuo bucket, AWS Private CA non è in grado di scrivere report di controllo nel bucket.

Per archiviare i report di controllo, devi preparare un bucket Amazon S3. Per ulteriori informazioni, consulta Come si crea un bucket S3?

Il bucket S3 deve essere protetto da una politica di autorizzazioni che AWS Private CA consenta di accedere e scrivere nel bucket S3 specificato. Gli utenti e i responsabili del servizio autorizzati richiedono Put l'autorizzazione per consentire di CA privata AWS inserire oggetti nel bucket e l'autorizzazione per recuperarli. Get Ti consigliamo di applicare la politica mostrata di seguito, che limita l'accesso sia a un AWS account che a quello ARN di una CA privata. In alternativa, puoi utilizzare la chiave di condizione aws: SourceOrg ID per limitare l'accesso a un'organizzazione specifica in. AWS Organizations Per ulteriori informazioni sulle politiche dei bucket, consulta le politiche dei bucket per Amazon Simple Storage Service.

{
   "Version":"2012-10-17",
   "Statement":[
      {
       	 "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "arn:aws:s3:::amzn-s3-demo-bucket1"
         ],
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"111122223333",
               "aws:SourceArn":"arn:partition:acm-pca:region:111122223333:certificate-authority/CA_ID"
            }
         }
      }
   ]
}

Crea un rapporto di controllo

È possibile creare un rapporto di controllo dalla console o dal AWS CLI.

Per creare un report di audit (console)

  1. Accedi al tuo AWS account e apri la CA privata AWS console da https://console.aws.amazon.com/acm-pca/casa.

  2. Nella pagina Autorizzazioni di certificazione private, scegli la tua CA privata dall'elenco.

  3. Dal menu Operazioni scegliere Genera report di audit.

  4. In Audit report destination, per Creare un nuovo bucket S3? , scegli e digita un nome di bucket univoco oppure scegli No e scegli un bucket esistente dall'elenco.

    Se scegli , CA privata AWS crea e allega la politica predefinita al tuo bucket. La politica predefinita include una chiave di aws:SourceAccount condizione che limita l'accesso a un account specifico AWS . Se desideri limitare ulteriormente l'accesso, puoi aggiungere altre chiavi di condizione alla politica, come nell'esempio precedente.

    Se scegli No, devi allegare una policy al tuo bucket prima di poter generare un rapporto di controllo. Utilizza il modello di policy descritto inPrepara un bucket Amazon S3 per i report di controllo. Per informazioni su come allegare una policy, consulta Aggiungere una bucket policy usando la console Amazon S3.

  5. In Formato di output, scegli JSON JavaScript Object Notation o CSVvalori separati da virgole.

  6. Scegliere Generate audit report (Genera report di audit).

Per creare un report di audit (AWS CLI)

  1. Se non hai già un bucket S3 da usare, creane uno.

  2. Allega una policy al tuo bucket. Utilizza il modello di policy descritto inPrepara un bucket Amazon S3 per i report di controllo. Per informazioni su come allegare una policy, consulta Aggiungere una bucket policy usando la console Amazon S3

  3. Usa il comando create-certificate-authority-audit-report per creare il report di audit e inserirlo nel bucket S3 preparato.

    $ aws acm-pca create-certificate-authority-audit-report \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--s3-bucket-name amzn-s3-demo-bucket \
--audit-report-response-format JSON

Recupera un rapporto di audit

Per recuperare un rapporto di controllo per l'ispezione, usa la console Amazon S3API,CLI, o. SDK Per ulteriori informazioni, consulta Downloading an object nella Amazon Simple Storage Service User Guide.

Crittografia dei report di controllo

Facoltativamente, puoi configurare la crittografia nel bucket Amazon S3 contenente i report di controllo. CA privata AWS supporta due modalità di crittografia per gli asset in S3:

  • Crittografia automatica lato server con chiavi -256 gestite da Amazon S3AES.

  • Crittografia gestita dal cliente utilizzando AWS Key Management Service e configurata secondo le tue specifiche AWS KMS key .

Nota

CA privata AWS non supporta l'utilizzo di KMS chiavi predefinite generate automaticamente da S3.

Nelle procedure seguenti viene descritto come impostare ciascuna delle opzioni di crittografia.

Per configurare la crittografia automatica

Completare la procedura seguente per abilitare la crittografia lato server S3.

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nella tabella Bucket, scegli il bucket che conterrà le tue risorse. CA privata AWS

  3. Nella pagina relativa al bucket scegliere la scheda Proprietà .

  4. Scegliere la scheda di crittografia predefinita.

  5. Scegli Abilita .

  6. Scegli la chiave Amazon S3 (SSE-S3).

  7. Seleziona Salva modifiche.

Per configurare la crittografia personalizzata

Completa i seguenti passaggi per abilitare la crittografia utilizzando una chiave personalizzata.

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Nella tabella Bucket, scegli il bucket che conterrà le tue risorse. CA privata AWS

  3. Nella pagina relativa al bucket scegliere la scheda Proprietà .

  4. Scegliere la scheda di crittografia predefinita.

  5. Scegli Abilita .

  6. Scegli il AWS Key Management Service tasto (SSE-KMS).

  7. Scegli tra AWS KMS le tue chiavi o Invio AWS KMS key ARN.

  8. Seleziona Salva modifiche.

  9. (Facoltativo) Se non disponi già di una KMS chiave, creane una utilizzando il seguente comando AWS CLI create-key:

    $ aws kms create-key

    L'output contiene l'ID della chiave e Amazon Resource Name (ARN) della KMS chiave. Di seguito è riportato un esempio di output:

    {
    "KeyMetadata": {
        "KeyId": "01234567-89ab-cdef-0123-456789abcdef",
        "Description": "",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1478910250.94,
        "Arn": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef",
        "AWSAccountId": "123456789012"
    }
}

  10. Utilizzando i passaggi seguenti, si concede al CA privata AWS servizio l'autorizzazione principale a utilizzare la KMS chiave. Per impostazione predefinita, tutte le KMS chiavi sono private; solo il proprietario della risorsa può utilizzare una KMS chiave per crittografare e decrittografare i dati. Tuttavia, il proprietario della risorsa può concedere le autorizzazioni per accedere alla KMS chiave ad altri utenti e risorse. Il responsabile del servizio deve trovarsi nella stessa regione in cui è archiviata la KMS chiave.

    1. Innanzitutto, salvate la politica predefinita per la KMS chiave policy.json utilizzando il seguente get-key-policycomando:

      $ aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json

    2. Apri il file policy.json in un editor di testo. Seleziona una delle seguenti dichiarazioni politiche e aggiungila alla politica esistente.

      Se la tua chiave bucket Amazon S3 è abilitata, usa la seguente dichiarazione:

      {
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":"arn:aws:s3:::bucket-name"
      }
   }
}

      Se la tua chiave bucket Amazon S3 è disabilitata, usa la seguente dichiarazione:

      {
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":[
            "arn:aws:s3:::bucket-name/acm-pca-permission-test-key",
            "arn:aws:s3:::bucket-name/acm-pca-permission-test-key-private",
            "arn:aws:s3:::bucket-name/audit-report/*",
            "arn:aws:s3:::bucket-name/crl/*"
         ]
      }
   }
}

    3. Infine, applica la policy aggiornata utilizzando il seguente comando: put-key-policy

      $ aws kms put-key-policy --key-id key_id --policy-name default --policy file://policy.json