Security Hub 控件适用于 AWS Private CA - AWS Security Hub
[PCA.1] AWS Private CA 应禁用根证书颁发机构

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 控件适用于 AWS Private CA

这些 AWS Security Hub 控件评估 AWS Private Certificate Authority (AWS Private CA) 服务和资源。

这些控件可能并非全部可用 AWS 区域。 有关更多信息,请参阅按地区划分的控件可用性

[PCA.1] AWS Private CA 应禁用根证书颁发机构

相关要求: NIST.800-53.r5 CA-9(1)、NIST .800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::ACMPCA::CertificateAuthority

AWS Config 规则:acm-pca-root-ca-disabled

计划类型:定期

参数:

此控件检查是否 AWS Private CA 有一个已禁用的根证书颁发机构 (CA)。如果启用了根 CA,则控制失败。

与 AWS Private CA,您可以创建包含根 CA 和下属 CA 的 CA 层次结构CAs。您应该尽量减少在日常任务中使用根 CA,尤其是在生产环境中。根 CA 只能用于颁发中间证书CAs。这允许将根 CA 存储在远离危险的地方,而中间证书可以CAs执行签发最终实体证书的日常任务。

修复

要禁用根 CA,请参阅中的 “更新 CA 状态AWS Private Certificate Authority 用户指南