Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizza i report di controllo con la tua CA privata
È possibile creare un report di audit per elencare i certificati emessi o revocati dalla CA privata. Il report viene salvato in un bucket S3 nuovo o esistente specificato nell'input.
Per informazioni sull'aggiunta della protezione di crittografia ai report di audit, consulta [Crittografia dei report di controllo](#audit-report-encryption).
Il file del rapporto di controllo ha il percorso e il nome di file seguenti. L'ARN per un bucket Amazon S3 è il valore per. `amzn-s3-demo-bucket` `CA_ID`è l'identificatore univoco di una CA emittente. `UUID`è l'identificatore univoco di un rapporto di audit.
```
amzn-s3-demo-bucket/audit-report/CA_ID/UUID.[json|csv]
```
È possibile generare un nuovo report ogni 30 minuti e scaricarlo dal bucket. Nell'esempio seguente viene illustrato un report CSV.
```
awsAccountId,requestedByServicePrincipal,certificateArn,serial,subject,notBefore,notAfter,issuedAt,revokedAt,revocationReason,templateArn
123456789012,,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4e5f6a,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T21:43:57+0000,2020-04-07T22:43:57+0000,2020-03-02T22:43:58+0000,,UNSPECIFIED,arn:aws:acm-pca:::template/EndEntityCertificate/V1
123456789012,acm.amazonaws.com,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T20:53:39+0000,2020-04-07T21:53:39+0000,2020-03-02T21:53:40+0000,,,arn:aws:acm-pca:::template/EndEntityCertificate/V1
```
Il seguente esempio mostra un report formattato JSON.
```
[
{
"awsAccountId":"123456789012",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff",
"subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2020-02-26T18:39:57+0000",
"notAfter":"2021-02-26T19:39:57+0000",
"issuedAt":"2020-02-26T19:39:58+0000",
"revokedAt":"2020-02-26T20:00:36+0000",
"revocationReason":"UNSPECIFIED",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
},
{
"awsAccountId":"123456789012",
"requestedByServicePrincipal":"acm.amazonaws.com",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00",
"subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2020-01-22T20:10:49+0000",
"notAfter":"2021-01-17T21:10:49+0000",
"issuedAt":"2020-01-22T21:10:49+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
]
```
**Nota**
Quando AWS Certificate Manager rinnova un certificato, il rapporto di audit CA privato compila il campo con. `requestedByServicePrincipal` `acm.amazonaws.com` Ciò indica che il AWS Certificate Manager servizio ha richiamato l'`IssueCertificate`azione dell' CA privata AWS API per conto di un cliente per rinnovare il certificato.
## Prepara un bucket Amazon S3 per i report di controllo
**Importante**
AWS Private CA non supporta l'uso di [Amazon S3 Object](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) Lock. Se attivi Object Lock sul tuo bucket, AWS Private CA non è in grado di scrivere report di controllo nel bucket.
Per archiviare i report di controllo, devi preparare un bucket Amazon S3. Per ulteriori informazioni, consulta [Come si crea un bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html)?
Il bucket S3 deve essere protetto da una politica di autorizzazioni che AWS Private CA consenta di accedere e scrivere nel bucket S3 specificato. Gli utenti e i responsabili del servizio autorizzati richiedono `Put` l'autorizzazione per consentire di CA privata AWS inserire oggetti nel bucket e l'autorizzazione per recuperarli. `Get` Ti consigliamo di applicare la politica mostrata di seguito, che limita l'accesso sia a un AWS account che all'ARN di una CA privata. In alternativa, puoi utilizzare la chiave di condizione [aws: SourceOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid) per limitare l'accesso a un'organizzazione specifica in. AWS Organizations Per ulteriori informazioni sulle politiche dei bucket, consulta le politiche dei [bucket per Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html).
## Crea un rapporto di controllo
È possibile creare un rapporto di controllo dalla console o dal AWS CLI.
**Per creare un report di audit (console)**
1. Accedi al tuo AWS account e apri la CA privata AWS console da [https://console.aws.amazon.com/acm-pca/casa](https://console.aws.amazon.com/acm-pca/home).
1. Nella pagina **Autorizzazioni di certificazione private**, scegli la tua CA privata dall'elenco.
1. Dal menu **Operazioni** scegliere **Genera report di audit**.
1. In **Audit report destination**, per **Creare un nuovo bucket S3**? , scegli **Sì** e digita un nome di bucket univoco oppure scegli **No** e scegli un bucket esistente dall'elenco.
Se scegli **Sì**, CA privata AWS crea e allega la politica predefinita al tuo bucket. La politica predefinita include una chiave di `aws:SourceAccount` condizione che limita l'accesso a un account specifico AWS . Se desideri limitare ulteriormente l'accesso, puoi aggiungere altre chiavi di condizione alla politica, come nell'esempio [precedente](#s3-access).
Se scegli **No**, devi allegare una policy al tuo bucket prima di poter generare un rapporto di controllo. Utilizza il modello di policy descritto in[Prepara un bucket Amazon S3 per i report di controllo](#s3-access). Per informazioni su come allegare una policy, consulta [Aggiungere una bucket policy usando la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html).
1. **In **Formato di output**, scegli **JSON per JavaScript Object Notation o CSV** per i valori separati da virgole.**
1. Scegliere **Generate audit report (Genera report di audit)**.
**Per creare un report di audit (AWS CLI)**
1. [Se non hai già un bucket S3 da usare, creane uno.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html)
1. Allega una policy al tuo bucket. Utilizza il modello di policy descritto in[Prepara un bucket Amazon S3 per i report di controllo](#s3-access). Per informazioni su come allegare una policy, consulta [Aggiungere una bucket policy usando la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)
1. Usa il comando [create-certificate-authority-audit-report](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority-audit-report.html) per creare il report di audit e inserirlo nel bucket S3 preparato.
```
$ aws acm-pca create-certificate-authority-audit-report \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--s3-bucket-name amzn-s3-demo-bucket \
--audit-report-response-format JSON
```
## Recupera un rapporto di audit
Per recuperare un rapporto di controllo per l'ispezione, utilizza la console Amazon S3, l'API, la CLI o l'SDK. Per ulteriori informazioni, consulta [Downloading an object](https://docs.aws.amazon.com/AmazonS3/latest/userguide/download-objects.html) nella *Amazon Simple Storage Service User Guide*.
## Crittografia dei report di controllo
Facoltativamente, puoi configurare la crittografia nel bucket Amazon S3 contenente i report di controllo. CA privata AWS supporta due modalità di crittografia per gli asset in S3:
+ Crittografia automatica lato server con chiavi AES-256 gestite da Amazon S3.
+ Crittografia gestita dal cliente utilizzando AWS Key Management Service e configurata secondo le tue specifiche. AWS KMS key
**Nota**
CA privata AWS non supporta l'utilizzo di chiavi KMS predefinite generate automaticamente da S3.
Nelle procedure seguenti viene descritto come impostare ciascuna delle opzioni di crittografia.
**Per configurare la crittografia automatica**
Completare la procedura seguente per abilitare la crittografia lato server S3.
1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Nella tabella **Bucket**, scegli il bucket che conterrà le tue risorse. CA privata AWS
1. Nella pagina relativa al bucket scegliere la scheda **Proprietà** .
1. Scegliere la scheda di **crittografia predefinita**.
1. Scegli **Abilita **.
1. Scegli la **chiave Amazon S3 (SSE-S3**).
1. Seleziona **Salva modifiche**.
**Per configurare la crittografia personalizzata**
Completa i seguenti passaggi per abilitare la crittografia utilizzando una chiave personalizzata.
1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Nella tabella **Bucket**, scegli il bucket che conterrà le tue risorse. CA privata AWS
1. Nella pagina relativa al bucket scegliere la scheda **Proprietà** .
1. Scegliere la scheda di **crittografia predefinita**.
1. Scegli **Abilita **.
1. Scegli la **AWS Key Management Service chiave (SSE-KMS**).
1. Scegli **tra AWS KMS le tue chiavi** o **Inserisci AWS KMS key ARN**.
1. Seleziona **Salva modifiche**.
1. (Facoltativo) Se non disponi già di una chiave KMS, creane una utilizzando il seguente comando AWS CLI [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html):
```
$ aws kms create-key
```
L'output contiene l'ID della chiave e l'Amazon Resource Name (ARN) della chiave KMS. Di seguito è riportato un esempio di output:
```
{
"KeyMetadata": {
"KeyId": "01234567-89ab-cdef-0123-456789abcdef",
"Description": "",
"Enabled": true,
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1478910250.94,
"Arn": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef",
"AWSAccountId": "123456789012"
}
}
```
1. Utilizzando i passaggi seguenti, si concede al CA privata AWS servizio l'autorizzazione principale a utilizzare la chiave KMS. Per impostazione predefinita, tutte le chiavi KMS sono private; solo il proprietario della risorsa può utilizzare una chiave KMS per crittografare e decrittografare i dati. Tuttavia, il proprietario della risorsa può concedere ad altri utenti e risorse le autorizzazioni per accedere alla chiave KMS. L'entità del servizio deve trovarsi nella stessa regione in cui è archiviata la chiave KMS.
1. Innanzitutto, salva la politica predefinita per la tua chiave KMS `policy.json` utilizzando il seguente comando: [get-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)
```
$ aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json
```
1. Apri il file `policy.json` in un editor di testo. Seleziona una delle seguenti dichiarazioni politiche e aggiungila alla politica esistente.
Se la tua chiave bucket Amazon S3 è *abilitata*, usa la seguente dichiarazione:
```
{
"Sid":"Allow ACM-PCA use of the key",
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource":"*",
"Condition":{
"StringLike":{
"kms:EncryptionContext:aws:s3:arn":"arn:aws:s3:::bucket-name"
}
}
}
```
Se la tua chiave bucket Amazon S3 è *disabilitata*, usa la seguente dichiarazione:
```
{
"Sid":"Allow ACM-PCA use of the key",
"Effect":"Allow",
"Principal":{
"Service":"acm-pca.amazonaws.com"
},
"Action":[
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource":"*",
"Condition":{
"StringLike":{
"kms:EncryptionContext:aws:s3:arn":[
"arn:aws:s3:::bucket-name/acm-pca-permission-test-key",
"arn:aws:s3:::bucket-name/acm-pca-permission-test-key-private",
"arn:aws:s3:::bucket-name/audit-report/*",
"arn:aws:s3:::bucket-name/crl/*"
]
}
}
}
```
1. Infine, applica la policy aggiornata utilizzando il seguente comando: [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)
```
$ aws kms put-key-policy --key-id key_id --policy-name default --policy file://policy.json
```