本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將稽核報告與私有 CA 搭配使用
您可以建立稽核報告,以列出私有 CA 已發行或撤銷的所有憑證。報告會儲存在新的或輸入時指定的現有 S3 儲存貯體。
如需為您稽核報告新增加密保護的資訊,請參閱 加密您的稽核報告 。
稽核報告檔案具有下列路徑和檔案名稱。Amazon S3 儲存貯體ARN的 是 的值amzn-s3-demo-bucket。 CA_ID 是發出 CA 的唯一識別符。 UUID是稽核報告的唯一識別符。
amzn-s3-demo-bucket/audit-report/CA_ID/UUID.[json|csv]每 30 分鐘可從您的儲存貯體產生及下載新的報告。下列範例顯示 CSV分隔的報告。
awsAccountId,requestedByServicePrincipal,certificateArn,serial,subject,notBefore,notAfter,issuedAt,revokedAt,revocationReason,templateArn
123456789012,,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4e5f6a,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T21:43:57+0000,2020-04-07T22:43:57+0000,2020-03-02T22:43:58+0000,,UNSPECIFIED,arn:aws:acm-pca:::template/EndEntityCertificate/V1
123456789012,acm.amazonaws.com,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T20:53:39+0000,2020-04-07T21:53:39+0000,2020-03-02T21:53:40+0000,,,arn:aws:acm-pca:::template/EndEntityCertificate/V1下列範例顯示 JSON格式化的報告。
[
{
"awsAccountId":"123456789012",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff",
"subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2020-02-26T18:39:57+0000",
"notAfter":"2021-02-26T19:39:57+0000",
"issuedAt":"2020-02-26T19:39:58+0000",
"revokedAt":"2020-02-26T20:00:36+0000",
"revocationReason":"UNSPECIFIED",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
},
{
"awsAccountId":"123456789012",
"requestedByServicePrincipal":"acm.amazonaws.com",
"certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
"serial":"ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00",
"subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2020-01-22T20:10:49+0000",
"notAfter":"2021-01-17T21:10:49+0000",
"issuedAt":"2020-01-22T21:10:49+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
] 注意
AWS Certificate Manager 更新憑證時,私有 CA 稽核報告會以 填入 requestedByServicePrincipal 欄位acm.amazonaws.com。這表示 AWS Certificate Manager 服務代表客戶呼叫 IssueCertificate AWS 私有 CA API的動作,以續約憑證。
為稽核報告準備 Amazon S3 儲存貯體
重要
AWS Private CA 不支援使用 Amazon S3 物件鎖定 。如果您在儲存貯體上啟用物件鎖定, AWS Private CA 則 無法將稽核報告寫入儲存貯體。
若要儲存稽核報告,您需要準備 Amazon S3 儲存貯體。如需詳細資訊,請參閱如何建立 S3 儲存貯體?
您的 S3 儲存貯體必須受到允許 AWS Private CA 存取和寫入您指定之 S3 儲存貯體的許可政策所保護。授權使用者和服務主體需要Put許可 AWS 私有 CA ,才能允許 將物件放入儲存貯體,以及擷取物件的Get許可。建議您套用如下所示的政策,這會限制對 AWS 帳戶和私有 CA ARN的 的存取。或者,您可以使用 aws:SourceOrgID 條件金鑰來限制對 中特定組織的存取 AWS Organizations。如需儲存貯體政策的詳細資訊,請參閱 Amazon Simple Storage Service 的儲存貯體政策。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "s3:PutObject", "s3:PutObjectAcl", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource":[ "arn:aws:s3:::amzn-s3-demo-bucket/*", "arn:aws:s3:::amzn-s3-demo-bucket1" ], "Condition":{ "StringEquals":{ "aws:SourceAccount":"111122223333", "aws:SourceArn":"arn:partition:acm-pca:region:111122223333:certificate-authority/CA_ID" } } } ] }
建立稽核報告
您可以從主控台或 建立稽核報告 AWS CLI。
建立稽核報告 (主控台)
-
登入您的 AWS 帳戶,並在 首頁開啟 AWS 私有 CA 主控台。 https://console.aws.amazon.com/acm-pca/
-
在私有憑證授權頁面上,從清單中選擇私有 CA。
-
從 Actions (動作) 選單中,選擇 Generate audit report (產生稽核報告)。
-
在稽核報告目的地 下,對於建立新的 S3 儲存貯體?,選擇是並輸入唯一的儲存貯體名稱,或選擇否並從清單中選擇現有的儲存貯體。
如果您選擇是 , 會 AWS 私有 CA 建立預設政策並將其連接至儲存貯體。預設政策包含
aws:SourceAccount條件索引鍵,會限制對特定 AWS 帳戶的存取。如果您想要進一步限制存取,您可以將其他條件金鑰新增至政策,例如在上述範例 中。如果您選擇否 ,您必須先將政策連接至儲存貯體,才能產生稽核報告。使用中所述的政策模式為稽核報告準備 Amazon S3 儲存貯體。如需連接政策的相關資訊,請參閱使用 Amazon S3 主控台 新增儲存貯體政策。
-
在輸出格式 下,JSON針對 JavaScript 物件記號選擇 ,或CSV針對逗號分隔值選擇 。
-
選擇 Generate audit report (產生稽核報告)。
建立稽核報告 (AWS CLI)
-
如果您還沒有要使用的 S3 儲存貯體,請建立一個 。
-
將政策連接至儲存貯體。使用中所述的政策模式為稽核報告準備 Amazon S3 儲存貯體。如需連接政策的相關資訊,請參閱使用 Amazon S3 主控台新增儲存貯體政策
-
使用 create-certificate-authority-audit-report 命令來建立稽核報告,並將其放置在準備好的 S3 儲存貯體中。
$aws acm-pca create-certificate-authority-audit-report \ --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --s3-bucket-nameamzn-s3-demo-bucket\ --audit-report-response-format JSON
擷取稽核報告
若要擷取稽核報告以供檢查,請使用 Amazon S3 主控台、CLI、 API或 SDK。如需詳細資訊,請參閱 Amazon Simple Storage Service 使用者指南 中的下載物件。
加密您的稽核報告
您可以選擇性地在包含稽核報告的 Amazon S3 儲存貯體上設定加密。 AWS 私有 CA 支援 S3 中資產的兩種加密模式:
-
使用 Amazon S3-managed 金鑰的自動伺服器端加密。 AES
-
使用 AWS Key Management Service 和 AWS KMS key 設定規格的客戶受管加密。
注意
AWS 私有 CA 不支援使用 S3 自動產生的預設KMS金鑰。
下列程序說明如何設定每個加密選項。
設定自動加密
完成以下步驟以啟用 S3 伺服器端加密。
在 開啟 Amazon S3 主控台https://console.aws.amazon.com/s3/
。 -
在儲存貯體資料表中,選擇將存放 AWS 私有 CA 資產的儲存貯體。
-
在您的儲存貯體頁面上,選擇屬性索引標籤。
-
選擇預設加密卡片。
-
選擇 啟用 。
-
選擇 Amazon S3 金鑰 (SSE-S3)。
-
選擇 Save Changes (儲存變更)。
設定自訂加密
完成下列步驟,以使用自訂金鑰啟用加密。
在 開啟 Amazon S3 主控台https://console.aws.amazon.com/s3/
。 -
在儲存貯體資料表中,選擇將存放 AWS 私有 CA 資產的儲存貯體。
-
在您的儲存貯體頁面上,選擇屬性索引標籤。
-
選擇預設加密卡片。
-
選擇 啟用 。
-
選擇AWS Key Management Service 金鑰 (SSE-KMS)。
-
選擇從 AWS KMS 金鑰中選擇或輸入 AWS KMS key ARN。
-
選擇 Save Changes (儲存變更)。
-
(選用) 如果您還沒有KMS金鑰,請使用下列 AWS CLI create-key 命令建立金鑰:
$aws kms create-key輸出包含金鑰的金鑰 ID 和 KMS Amazon Resource Name (ARN)。以下是輸出範例:
{ "KeyMetadata": { "KeyId": "01234567-89ab-cdef-0123-456789abcdef", "Description": "", "Enabled": true, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1478910250.94, "Arn": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef", "AWSAccountId": "123456789012" } } -
使用下列步驟,您可以授予 AWS 私有 CA 服務主體使用 KMS金鑰的許可。根據預設,所有KMS金鑰都是私有的;只有資源擁有者可以使用KMS金鑰來加密和解密資料。不過,資源擁有者可以將存取KMS金鑰的許可授予其他使用者和資源。服務主體必須位於儲存KMS金鑰的相同區域中。
-
首先,使用
policy.json下列get-key-policy命令來儲存KMS金鑰的預設政策:$aws kms get-key-policy --key-idkey-id--policy-name default --output text > ./policy.json -
在文字編輯器中開啟
policy.json檔案。選取下列其中一個政策陳述式,並將其新增至現有政策。如果您的 Amazon S3 儲存貯體金鑰已啟用 ,請使用下列陳述式:
{ "Sid":"Allow ACM-PCA use of the key", "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource":"*", "Condition":{ "StringLike":{ "kms:EncryptionContext:aws:s3:arn":"arn:aws:s3:::bucket-name" } } }如果您的 Amazon S3 儲存貯體金鑰已停用 ,請使用下列陳述式:
{ "Sid":"Allow ACM-PCA use of the key", "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource":"*", "Condition":{ "StringLike":{ "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::bucket-name/acm-pca-permission-test-key", "arn:aws:s3:::bucket-name/acm-pca-permission-test-key-private", "arn:aws:s3:::bucket-name/audit-report/*", "arn:aws:s3:::bucket-name/crl/*" ] } } } -
最後,使用下列put-key-policy命令套用更新的政策:
$aws kms put-key-policy --key-idkey_id--policy-name default --policy file://policy.json
-
