AWS Private CA ベストプラクティス - AWS Private Certificate Authority
CA の構造とポリシーのドキュメント化可能な場合にはルート CA の使用を最小限に抑える ルート CA に独自の を付与する AWS アカウント管理者ロールと発行者ロールを分ける証明書のマネージド失効を実装するオンにする AWS CloudTrailCA プライベートキーを切り替える未使用の を削除する CAsへのパブリックアクセスをブロックする CRLsAmazon EKSアプリケーションのベストプラクティス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Private CA ベストプラクティス

ベストプラクティスは、 AWS Private CA を効果的に使用するのに役立つ推奨事項です。以下のベストプラクティスは、現在 AWS Certificate Manager および AWS Private CA 顧客の実際の経験に基づいています。

CA の構造とポリシーのドキュメント化

AWS では、CA を運用するためのすべてのポリシーとプラクティスを文書化することをお勧めします。アプローチには以下が含まれます。

  • CA 構造に関する意思決定の推論

  • CAs とその関係を示す図

  • CA の有効期間に関するポリシー

  • CA 承継の計画

  • パスの長さに関するポリシー

  • アクセス許可のカタログ

  • 管理制御構造の説明

  • セキュリティ

この情報は、認証ポリシー (CP) と認証プラクティスステートメント () と呼ばれる 2 つのドキュメントにキャプチャできますCPS。CA オペレーションに関する重要な情報をキャプチャするためのフレームワークについては、RFC3647 を参照してください。

可能な場合にはルート CA の使用を最小限に抑える

ルート CA は、通常、中間 の証明書を発行するためにのみ使用する必要がありますCAs。これにより、ルート CA を危害の及ばない方法で保存し、中間者がエンドエンティティ証明書を発行する毎日のタスクCAsを実行できます。

ただし、組織の現在の慣行がルート CA から直接エンドエンティティ証明書を発行する場合、 はセキュリティと運用上のコントロールを向上させながら、このワークフローをサポート AWS Private CA できます。このシナリオでエンドエンティティ証明書を発行するには、ルート CA にエンドエンティティ証明書テンプレートの使用を許可するIAMアクセス許可ポリシーが必要です。IAM ポリシーの詳細については、「の Identity and Access Management (IAM) AWS Private Certificate Authority」を参照してください。

注記

この設定では、運用上の問題が発生する可能性がある制限が課されます。たとえば、ルート CA が侵害されたり紛失したりした場合、新しいルート CA を作成し、環境内のすべてのクライアントに配布する必要があります。この回復プロセスが完了するまで、新しい証明書を発行することはできません。また、ルート CA から証明書を直接発行すると、アクセスを制限したり、ルートから発行される証明書の数を制限したりできなくなります。これらの証明書は、ルート CA の管理に関するベストプラクティスと見なされます。

ルート CA に独自の を付与する AWS アカウント

2 つの異なる AWS アカウントにルート CA と下位 CA を作成することが推奨されるベストプラクティスです。これにより、ルート CA に対する追加の保護とアクセス制御が提供されます。これを行うには、1 つのアカウントで下位 CA CSRから をエクスポートし、別のアカウントのルート CA で署名します。このアプローチの利点は、アカウントCAsごとに の制御を分離できることです。欠点は、ウィザードを使用して AWS Management Console ルート CA から下位 CA の CA 証明書に署名するプロセスを簡素化できないことです。

重要

にアクセスするときは、常に多要素認証 (MFA) を使用することを強くお勧めします AWS Private CA。

管理者ロールと発行者ロールを分ける

CA 管理者ロールは、エンドエンティティ証明書の発行のみが必要なユーザーとは別にする必要があります。CA 管理者と証明書発行者が同じ に存在する場合は AWS アカウント、その目的に特化したIAMユーザーを作成することで発行者のアクセス許可を制限できます。

証明書のマネージド失効を実装する

マネージド失効は、証明書が取り消されたときに、証明書クライアントに自動的に通知します。暗号情報が侵害されたり、証明書が誤って発行されたりした場合は、証明書の取り消しが必要になることがあります。クライアントは通常、失効した Certificate の受け入れを拒否します。 は、オンライン証明書ステータスプロトコル (OCSP) と証明書失効リスト () の 2 つの標準オプション AWS Private CA を提供しますCRLs。詳細については、「AWS Private CA 証明書失効メソッドを計画する」を参照してください。

オンにする AWS CloudTrail

プライベート CA を作成して運用を開始する前に、 CloudTrail ログ記録をオンにします。を使用すると CloudTrail、アカウントの呼び出し履歴 AWS APIを取得してデプロイをモニタリングできます AWS 。この履歴には、、 AWS Management Console、 AWS SDKs AWS Command Line Interface、および高レベルの AWS サービスから行われたAPI呼び出しが含まれます。また、PCAAPIオペレーションを呼び出したユーザーとアカウント、呼び出し元の IP アドレス、呼び出しが発生した日時を特定することもできます。を使用してアプリケーション CloudTrail に統合しAPI、組織の証跡作成を自動化し、証跡のステータスをチェックし、管理者が CloudTrail ログ記録をオンまたはオフにする方法を制御できます。詳細については、「証跡の作成」を参照してください。オペレーションの証跡の例を確認するにはを使用した通話のログ記録 AWS Private Certificate Authority API AWS CloudTrail、「」を参照してください AWS Private CA 。

CA プライベートキーを切り替える

ベストプラクティスとして、プライベート CA のプライベートキーを定期的に更新します。キーを更新するには、新しい CA 認定をインポートするか、プライベート CA を新しい CA に置き換えます。

注記

CA 自体を置き換える場合は、CA ARNの が変更されることに注意してください。これにより、ハードコードされた に依存するオートメーションが失敗ARNします。

未使用の を削除する CAs

プライベート CA を完全に削除できます。この操作は、CA が不要になった場合や、より新しいプライベートキーを持つ CA に置き換える必要がある場合に行います。CA を安全に削除するには、「プライベート CA の削除」で示している手順に従うことをお勧めします。

注記

AWS は、削除されるまで CA に対して課金します。

へのパブリックアクセスをブロックする CRLs

AWS Private CA は、 を含むバケットで Amazon S3 パブリックアクセスブロック (BPA) 機能を使用することをお勧めしますCRLs。これにより、潜在的な攻撃者にプライベートの詳細を不必要PKIに公開することを回避できます。BPA は S3 のベストプラクティスであり、新しいバケットではデフォルトで有効になっています。追加のセットアップが必要な場合があります。詳細については、「で S3 パブリックアクセスブロック (BPA) を有効にする CloudFront」を参照してください。

Amazon EKSアプリケーションのベストプラクティス

を使用して Amazon AWS Private CA に X.509 証明書EKSをプロビジョニングする場合は、「Amazon EKS ベストプラクティスガイド」の「マルチテナント環境の保護に関する推奨事項」に従ってください。 AWS Private CA と Kubernetes との統合に関する一般的な情報については、「で Kubernetes を保護する AWS Private CA」を参照してください。