Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de los informes de auditoría con su CA privada
Puede crear un informe de auditoría para mostrar todos los certificados que la CA privada ha emitido o revocado. El informe se guarda en un bucket de S3 nuevo o existente que se especifique en la entrada.
Para obtener información sobre cómo agregar protección de cifrado a los informes de auditoría, consulte Cifrado de los informes de auditoría .
El archivo del informe de auditoría tiene la siguiente ruta y nombre de archivo. El valor ARN para un bucket de Amazon S3 es el valor debucket-name
. CA_ID
es el identificador único de una CA emisora. UUID
es el identificador único de un informe de auditoría.
bucket-name
/audit-report/CA_ID
/UUID
.[json|csv]
Puede generar un nuevo informe cada 30 minutos y descargarlo en el bucket. El siguiente ejemplo muestra un informe CSV separado por partes.
awsAccountId,requestedByServicePrincipal,certificateArn,serial,subject,notBefore,notAfter,issuedAt,revokedAt,revocationReason,templateArn
123456789012,,arn:aws:acm-pca:region
:account
:certificate-authority/CA_ID
/certificate/certificate_ID
,00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4e5f6a,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T21:43:57+0000,2020-04-07T22:43:57+0000,2020-03-02T22:43:58+0000,,UNSPECIFIED,arn:aws:acm-pca:::template/EndEntityCertificate/V1
123456789012,acm.amazonaws.com,arn:aws:acm-pca:region
:account
:certificate-authority/CA_ID
/certificate/certificate_ID
,ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T20:53:39+0000,2020-04-07T21:53:39+0000,2020-03-02T21:53:40+0000,,,arn:aws:acm-pca:::template/EndEntityCertificate/V1
El siguiente ejemplo muestra un informe JSON con formato.
[
{
"awsAccountId":"123456789012",
"certificateArn":"arn:aws:acm-pca:region
:account
:certificate-authority/CA_ID
/certificate/certificate_ID
",
"serial":"00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff",
"subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2020-02-26T18:39:57+0000",
"notAfter":"2021-02-26T19:39:57+0000",
"issuedAt":"2020-02-26T19:39:58+0000",
"revokedAt":"2020-02-26T20:00:36+0000",
"revocationReason":"UNSPECIFIED",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
},
{
"awsAccountId":"123456789012",
"requestedByServicePrincipal":"acm.amazonaws.com",
"certificateArn":"arn:aws:acm-pca:region
:account
:certificate-authority/CA_ID
/certificate/certificate_ID
",
"serial":"ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00",
"subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
"notBefore":"2020-01-22T20:10:49+0000",
"notAfter":"2021-01-17T21:10:49+0000",
"issuedAt":"2020-01-22T21:10:49+0000",
"templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
]
nota
Cuando se AWS Certificate Manager renueva un certificado, el informe de auditoría privado de CA rellena el campo con. requestedByServicePrincipal
acm.amazonaws.com
Esto indica que el AWS Certificate Manager servicio ha solicitado IssueCertificate
la renovación del certificado Autoridad de certificación privada de AWS API en nombre de un cliente.
Preparación de un bucket de Amazon S3 para informes de auditoría
importante
AWS Private CA no admite el uso de Amazon S3 Object Lock. Si habilitas Object Lock en tu bucket, AWS Private CA no podrá escribir informes de auditoría en el bucket.
Para almacenar sus informes de auditoría, debe preparar un bucket de Amazon S3. Para obtener más información, consulte ¿Cómo puedo crear un bucket de S3?
Su bucket de S3 debe estar protegido por una política de permisos asociada. Los usuarios autorizados y los directores de servicio necesitan Put
permiso Autoridad de certificación privada de AWS para poder colocar objetos en el depósito y Get
para recuperarlos. Le recomendamos que aplique la política que se muestra a continuación, que restringe el acceso tanto a una AWS cuenta como a la ARN de una entidad emisora de certificados privada. Para obtener más información, consulte Agregar una política de bucket mediante la consola de Amazon S3.
nota
Durante el procedimiento de consola para crear un informe de auditoría, puede optar por dejar que se Autoridad de certificación privada de AWS cree un nuevo depósito y aplicar una política de permisos predeterminada. La política predeterminada no aplica ninguna restricción de SourceArn
a la CA y, por lo tanto, es más permisiva que la política recomendada. Si decide elegir la predeterminada, siempre podrá modificarla más adelante.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "s3:PutObject", "s3:PutObjectAcl", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource":[ "arn:aws:s3:::
DOC-EXAMPLE-BUCKET
/*", "arn:aws:s3:::DOC-EXAMPLE-BUCKET
" ], "Condition":{ "StringEquals":{ "aws:SourceAccount":"account
", "aws:SourceArn":"arn:partition
:acm-pca:region
:account
:certificate-authority/CA_ID
" } } } ] }
Creación de un informe de auditoría
Puede crear un informe de auditoría desde la consola o la AWS CLI.
Para crear un informe de auditoría (consola)
-
Inicia sesión en tu AWS cuenta y abre la Autoridad de certificación privada de AWS consola en https://console.aws.amazon.com/acm-pca/casa
. -
En la página Private certificate authorities (Entidades de certificación privada), elija una CA privada de la lista.
-
En el menú Acciones, elija Generar informe de auditoría.
-
En Audit report destination (Destino de informe de auditoría), para Create a new S3 bucket? ¿Crear un nuevo bucket de S3?, elija Yes (Sí) y escriba un nombre de bucket único o elija No y elija un bucket existente de la lista.
Si eliges Sí, Autoridad de certificación privada de AWS crea y adjunta la política predeterminada a tu bucket. Si selecciona No, deberá asociar la siguiente política al bucket antes de poder generar el informe de auditoría. Utilice el patrón de políticas descrito en Preparación de un bucket de Amazon S3 para informes de auditoría. Para obtener más información sobre cómo adjuntar una política, consulte Agregar una política de bucket mediante la consola de Amazon S3
-
En Formato de salida, elija Notación JSONde JavaScript objetos o valores separados CSVpor comas.
-
Seleccione Generate audit report (Generar informe de auditoría).
Para crear un informe de auditoría (AWS CLI)
-
Si no dispone de un bucket S3, cree uno.
-
Adjunte la política a su bucket. Utilice el patrón de políticas descrito en Preparación de un bucket de Amazon S3 para informes de auditoría. Para obtener más información sobre cómo adjuntar una política, consulte Agregar una política de bucket mediante la consola de Amazon S3
-
Utilice el comando create-certificate-authority-audit-report para crear el informe de auditoría y colocarlo en el depósito S3 preparado.
$
aws acm-pca create-certificate-authority-audit-report \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --s3-bucket-namebucket_name
\ --audit-report-response-format JSON
Recuperar un informe de auditoría
Para recuperar un informe de auditoría para inspeccionarlo, utilice la consola Amazon S3API,CLI, oSDK. Para obtener más información, consulte Descargar un objeto en la Guía del usuario de Amazon Simple Storage Service.
Cifrado de los informes de auditoría
Si lo desea, puede configurar el cifrado en el bucket de Amazon S3 que contiene sus informes de auditoría. Autoridad de certificación privada de AWS admite dos modos de cifrado para los activos de S3:
-
Cifrado automático del lado del servidor con 256 claves administradas por Amazon S3AES.
-
Cifrado gestionado por el cliente mediante AWS Key Management Service y configurado según sus especificaciones AWS KMS key .
nota
Autoridad de certificación privada de AWS no admite el uso de KMS claves predeterminadas generadas automáticamente por S3.
Los siguientes procedimientos describen cómo configurar cada una de las opciones de cifrado.
Para configurar el cifrado automático
Complete los siguientes pasos para habilitar el cifrado del lado del servidor de S3.
Abra la consola Amazon S3 en https://console.aws.amazon.com/s3/
. -
En la tabla Buckets, elija el bucket que albergará sus Autoridad de certificación privada de AWS activos.
-
En la página del bucket, elija la pestaña Properties (Propiedades).
-
Elija la tarjeta Default encryption (Cifrado predeterminado) .
-
Seleccione Habilitar.
-
Elija la clave Amazon S3 (SSE-S3).
-
Elija Save changes (Guardar cambios).
Para configurar el cifrado personalizado
Complete los siguientes pasos para habilitar el cifrado mediante una clave personalizada.
Abra la consola Amazon S3 en https://console.aws.amazon.com/s3/
. -
En la tabla Buckets, elija el bucket que albergará sus Autoridad de certificación privada de AWS activos.
-
En la página del bucket, elija la pestaña Properties (Propiedades).
-
Elija la tarjeta Default encryption (Cifrado predeterminado) .
-
Seleccione Habilitar.
-
Elija AWS Key Management Service la clave (SSE-KMS).
-
Elija entre sus AWS KMS claves o Entrar AWS KMS key ARN.
-
Elija Save changes (Guardar cambios).
-
(Opcional) Si aún no tiene una KMS clave, cree una con el siguiente comando AWS CLI create-key:
$
aws kms create-key
El resultado contiene el ID de clave y el nombre de recurso de Amazon (ARN) de la KMS clave. El siguiente es un ejemplo de salida:
{ "KeyMetadata": { "KeyId": "01234567-89ab-cdef-0123-456789abcdef", "Description": "", "Enabled": true, "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "CreationDate": 1478910250.94, "Arn": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef", "AWSAccountId": "123456789012" } }
-
Mediante los siguientes pasos, usted otorga permiso al director del Autoridad de certificación privada de AWS servicio para usar la KMS clave. De forma predeterminada, todas KMS las claves son privadas; solo el propietario del recurso puede usar una KMS clave para cifrar y descifrar los datos. Sin embargo, el propietario del recurso puede conceder permisos para acceder a la KMS clave a otros usuarios y recursos. El principal del servicio debe estar en la misma región en la que está almacenada la KMS clave.
-
En primer lugar, guarde la política predeterminada de su KMS clave
policy.json
mediante el siguiente get-key-policycomando:$
aws kms get-key-policy --key-id
key-id
--policy-name default --output text > ./policy.json -
Abra el archivo
policy.json
en un editor de texto. Seleccione una de las siguientes declaraciones de política y agréguela a la política existente.Si su clave de bucket de Amazon S3 está habilitada, utilice la siguiente declaración:
{ "Sid":"Allow ACM-PCA use of the key", "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource":"*", "Condition":{ "StringLike":{ "kms:EncryptionContext:aws:s3:arn":"arn:aws:s3:::
bucket-name
" } } }Si su clave de bucket de Amazon S3 está deshabilitada, utilice la siguiente declaración:
{ "Sid":"Allow ACM-PCA use of the key", "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource":"*", "Condition":{ "StringLike":{ "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::
bucket-name
/acm-pca-permission-test-key", "arn:aws:s3:::bucket-name
/acm-pca-permission-test-key-private", "arn:aws:s3:::bucket-name
/audit-report/*", "arn:aws:s3:::bucket-name
/crl/*" ] } } } -
Por último, aplique la política actualizada mediante el siguiente put-key-policycomando:
$
aws kms put-key-policy --key-id
key_id
--policy-name default --policy file://policy.json
-