本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

AWS 私有 CA 最佳實務

最佳實務是可協助您 AWS 私有 CA 有效使用的建議。下列最佳實務是以目前 AWS Certificate Manager 和 AWS 私有 CA 客戶的真實體驗為基礎。

記錄 CA 結構和政策

AWS 建議記錄您操作 CA 的所有政策和實務。這可能包括：

您可以在兩個文件中擷取此資訊，稱為憑證政策 （CP） 和憑證實務陳述式 （CPS）。請參閱 RFC 3647 以取得擷取 CA 操作重要資訊的架構。

如果可能，將根 CA 的使用降至最低

一般而言，根 CA 應僅用於為中繼 發出憑證CAs。這可讓根 CA 在中間執行發出結束實體憑證的CAs每日任務時，不受傷害地存放。

不過，如果您組織的目前做法是直接從根 CA 發出最終實體憑證， AWS 私有 CA 可以支援此工作流程，同時改善安全性和操作控制。在此案例中發行終端實體憑證需要IAM許可政策，允許根 CA 使用終端實體憑證範本。如需IAM政策的相關資訊，請參閱 的身分和存取管理 (IAM) AWS Private Certificate Authority。

將自己的根 CA 提供給 。 AWS 帳戶

在兩個不同 AWS 帳戶中建立根 CA 和下級 CA 是建議的最佳實務。如此可以為您提供額外的保護，以及您根 CA 的存取控制。您可以從一個帳戶中CSR的下級 CA 匯出 ，並使用不同帳戶中的根 CA 簽署 ，藉此執行此操作。這種方法的好處是您可以CAs依帳戶分開控制您的 。缺點是您無法使用 AWS Management Console 精靈簡化從根 CA 簽署下級 CA 的 CA 憑證的程序。

分開管理員和發行者角色

CA 管理員角色應與僅需要發出最終實體憑證的使用者分開。如果您的 CA 管理員和憑證發行者位於相同的 中 AWS 帳戶，您可以透過為該目的建立IAM使用者來限制發行者許可。

實作憑證的受管撤銷

受管撤銷會在憑證遭到撤銷時，自動向憑證用戶端提供通知。如果憑證的密碼編譯資訊遭到洩露或錯誤發出，您可能需要撤銷憑證。用戶端通常會拒絕接受已撤銷的憑證。 AWS 私有 CA 提供兩個標準選項，用於受管撤銷：線上憑證狀態通訊協定 （OCSP） 和憑證撤銷清單 （CRLs）。如需詳細資訊，請參閱規劃您的 AWS Private CA 憑證撤銷方法。

開啟 AWS CloudTrail

在建立和開始操作私有 CA 之前，請開啟 CloudTrail 記錄。使用 CloudTrail，您可以擷取帳戶的呼叫歷史記錄 AWS API，以監控您的 AWS 部署。此歷史記錄包含從 AWS Management Console、 AWS SDKs、 AWS Command Line Interface和更高層級 AWS 服務進行的API呼叫。您也可以識別稱為 PCA API 操作的使用者和帳戶、進行呼叫的來源 IP 地址，以及呼叫的時間。您可以使用 整合 CloudTrail 到應用程式API、自動化組織追蹤建立、檢查追蹤狀態，並控制管理員如何開啟和關閉 CloudTrail 記錄。如需詳細資訊，請參閱建立追蹤記錄。前往 使用 記錄 AWS Private Certificate Authority API通話 AWS CloudTrail 查看 AWS 私有 CA 操作的範例追蹤。

輪換 CA 私有金鑰

這是為您的私有 CA 定期更新私密金鑰的最佳實務。您可以透過匯入新的 CA 憑證，或是將私有 CA 取代為新的 CA，來更新金鑰。

刪除未使用的 CAs

您可以永久刪除私有 CA。如果您不再需要 CA，或想要以具有較新私密金鑰的 CA 取代現有 CA，可執行此動作。若要安全刪除 CA，我們建議您依照 刪除您的私有 CA 中所述的流程操作。

封鎖對 的公開存取 CRLs

AWS 私有 CA 建議在包含 的儲存貯體上使用 Amazon S3 Block Public Access （BPA） 功能CRLs。這可避免不必要地將私有的詳細資訊暴露PKI給潛在的對手。BPA 是 S3 最佳實務，並預設在新儲存貯體上啟用。在某些情況下需要額外設定。如需詳細資訊，請參閱使用 啟用 S3 Block Public Access （BPA） CloudFront。

Amazon EKS 應用程式最佳實務

使用 AWS 私有 CA 以 EKS X.509 憑證佈建 Amazon 時，請遵循 Amazon EKS 最佳實務指南 中保護多租戶環境的建議。如需 AWS 私有 CA 與 Kubernetes 整合的一般資訊，請參閱 使用 保護 Kubernetes AWS 私有 CA。