Uso de los informes de auditoría con su CA privada - AWS Private Certificate Authority
Preparación de un bucket de Amazon S3 para informes de auditoríaCreación de un informe de auditoríaRecuperar un informe de auditoríaCifrado de los informes de auditoría

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de los informes de auditoría con su CA privada

Puede crear un informe de auditoría para mostrar todos los certificados que la CA privada ha emitido o revocado. El informe se guarda en un bucket de S3 nuevo o existente que se especifique en la entrada.

Para obtener información sobre cómo agregar protección de cifrado a los informes de auditoría, consulte Cifrado de los informes de auditoría .

El archivo del informe de auditoría tiene la siguiente ruta y nombre de archivo. El valor ARN para un bucket de Amazon S3 es el valor debucket-name. CA_IDes el identificador único de una CA emisora. UUIDes el identificador único de un informe de auditoría. 

bucket-name/audit-report/CA_ID/UUID.[json|csv]

Puede generar un nuevo informe cada 30 minutos y descargarlo en el bucket. El siguiente ejemplo muestra un informe CSV separado por partes.

awsAccountId,requestedByServicePrincipal,certificateArn,serial,subject,notBefore,notAfter,issuedAt,revokedAt,revocationReason,templateArn
123456789012,,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4e5f6a,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T21:43:57+0000,2020-04-07T22:43:57+0000,2020-03-02T22:43:58+0000,,UNSPECIFIED,arn:aws:acm-pca:::template/EndEntityCertificate/V1
123456789012,acm.amazonaws.com,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T20:53:39+0000,2020-04-07T21:53:39+0000,2020-03-02T21:53:40+0000,,,arn:aws:acm-pca:::template/EndEntityCertificate/V1

El siguiente ejemplo muestra un informe JSON con formato. 

[
   {
      "awsAccountId":"123456789012",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff",
      "subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2020-02-26T18:39:57+0000",
      "notAfter":"2021-02-26T19:39:57+0000",
      "issuedAt":"2020-02-26T19:39:58+0000",
      "revokedAt":"2020-02-26T20:00:36+0000",
      "revocationReason":"UNSPECIFIED",
      "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
   },
   {
      "awsAccountId":"123456789012",
      "requestedByServicePrincipal":"acm.amazonaws.com",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00",
      "subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2020-01-22T20:10:49+0000",
      "notAfter":"2021-01-17T21:10:49+0000",
      "issuedAt":"2020-01-22T21:10:49+0000",
      "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
   }
]
nota

Cuando se AWS Certificate Manager renueva un certificado, el informe de auditoría privado de CA rellena el campo con. requestedByServicePrincipal acm.amazonaws.com Esto indica que el AWS Certificate Manager servicio ha solicitado IssueCertificate la renovación del certificado Autoridad de certificación privada de AWS API en nombre de un cliente.

Preparación de un bucket de Amazon S3 para informes de auditoría

importante

AWS Private CA no admite el uso de Amazon S3 Object Lock. Si habilitas Object Lock en tu bucket, AWS Private CA no podrá escribir informes de auditoría en el bucket.

Para almacenar sus informes de auditoría, debe preparar un bucket de Amazon S3. Para obtener más información, consulte ¿Cómo puedo crear un bucket de S3?

Su bucket de S3 debe estar protegido por una política de permisos asociada. Los usuarios autorizados y los directores de servicio necesitan Put permiso Autoridad de certificación privada de AWS para poder colocar objetos en el depósito y Get para recuperarlos. Le recomendamos que aplique la política que se muestra a continuación, que restringe el acceso tanto a una AWS cuenta como a la ARN de una entidad emisora de certificados privada. Para obtener más información, consulte Agregar una política de bucket mediante la consola de Amazon S3.

nota

Durante el procedimiento de consola para crear un informe de auditoría, puede optar por dejar que se Autoridad de certificación privada de AWS cree un nuevo depósito y aplicar una política de permisos predeterminada. La política predeterminada no aplica ninguna restricción de SourceArn a la CA y, por lo tanto, es más permisiva que la política recomendada. Si decide elegir la predeterminada, siempre podrá modificarla más adelante.

{
   "Version":"2012-10-17",
   "Statement":[
      {
       	 "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
         ],
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"account",
               "aws:SourceArn":"arn:partition:acm-pca:region:account:certificate-authority/CA_ID"
            }
         }
      }
   ]
}

Creación de un informe de auditoría

Puede crear un informe de auditoría desde la consola o la AWS CLI.

Para crear un informe de auditoría (consola)

  1. Inicia sesión en tu AWS cuenta y abre la Autoridad de certificación privada de AWS consola en https://console.aws.amazon.com/acm-pca/casa.

  2. En la página Private certificate authorities (Entidades de certificación privada), elija una CA privada de la lista.

  3. En el menú Acciones, elija Generar informe de auditoría.

  4. En Audit report destination (Destino de informe de auditoría), para Create a new S3 bucket? ¿Crear un nuevo bucket de S3?, elija Yes (Sí) y escriba un nombre de bucket único o elija No y elija un bucket existente de la lista.

    Si eliges , Autoridad de certificación privada de AWS crea y adjunta la política predeterminada a tu bucket. Si selecciona No, deberá asociar la siguiente política al bucket antes de poder generar el informe de auditoría. Utilice el patrón de políticas descrito en Preparación de un bucket de Amazon S3 para informes de auditoría. Para obtener más información sobre cómo adjuntar una política, consulte Agregar una política de bucket mediante la consola de Amazon S3

  5. En Formato de salida, elija Notación JSONde JavaScript objetos o valores separados CSVpor comas.

  6. Seleccione Generate audit report (Generar informe de auditoría).

Para crear un informe de auditoría (AWS CLI)

  1. Si no dispone de un bucket S3, cree uno.

  2. Adjunte la política a su bucket. Utilice el patrón de políticas descrito en Preparación de un bucket de Amazon S3 para informes de auditoría. Para obtener más información sobre cómo adjuntar una política, consulte Agregar una política de bucket mediante la consola de Amazon S3

  3. Utilice el comando create-certificate-authority-audit-report para crear el informe de auditoría y colocarlo en el depósito S3 preparado.

    $ aws acm-pca create-certificate-authority-audit-report \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--s3-bucket-name bucket_name \
--audit-report-response-format JSON

Recuperar un informe de auditoría

Para recuperar un informe de auditoría para inspeccionarlo, utilice la consola Amazon S3API,CLI, oSDK. Para obtener más información, consulte Descargar un objeto en la Guía del usuario de Amazon Simple Storage Service.

Cifrado de los informes de auditoría

Si lo desea, puede configurar el cifrado en el bucket de Amazon S3 que contiene sus informes de auditoría. Autoridad de certificación privada de AWS admite dos modos de cifrado para los activos de S3:

  • Cifrado automático del lado del servidor con 256 claves administradas por Amazon S3AES.

  • Cifrado gestionado por el cliente mediante AWS Key Management Service y configurado según sus especificaciones AWS KMS key .

nota

Autoridad de certificación privada de AWS no admite el uso de KMS claves predeterminadas generadas automáticamente por S3.

Los siguientes procedimientos describen cómo configurar cada una de las opciones de cifrado.

Para configurar el cifrado automático

Complete los siguientes pasos para habilitar el cifrado del lado del servidor de S3.

  1. Abra la consola Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En la tabla Buckets, elija el bucket que albergará sus Autoridad de certificación privada de AWS activos.

  3. En la página del bucket, elija la pestaña Properties (Propiedades).

  4. Elija la tarjeta Default encryption (Cifrado predeterminado) .

  5. Seleccione Habilitar.

  6. Elija la clave Amazon S3 (SSE-S3).

  7. Elija Save changes (Guardar cambios).

Para configurar el cifrado personalizado

Complete los siguientes pasos para habilitar el cifrado mediante una clave personalizada.

  1. Abra la consola Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En la tabla Buckets, elija el bucket que albergará sus Autoridad de certificación privada de AWS activos.

  3. En la página del bucket, elija la pestaña Properties (Propiedades).

  4. Elija la tarjeta Default encryption (Cifrado predeterminado) .

  5. Seleccione Habilitar.

  6. Elija AWS Key Management Service la clave (SSE-KMS).

  7. Elija entre sus AWS KMS claves o Entrar AWS KMS key ARN.

  8. Elija Save changes (Guardar cambios).

  9. (Opcional) Si aún no tiene una KMS clave, cree una con el siguiente comando AWS CLI create-key:

    $ aws kms create-key

    El resultado contiene el ID de clave y el nombre de recurso de Amazon (ARN) de la KMS clave. El siguiente es un ejemplo de salida:

    {
    "KeyMetadata": {
        "KeyId": "01234567-89ab-cdef-0123-456789abcdef",
        "Description": "",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1478910250.94,
        "Arn": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef",
        "AWSAccountId": "123456789012"
    }
}

  10. Mediante los siguientes pasos, usted otorga permiso al director del Autoridad de certificación privada de AWS servicio para usar la KMS clave. De forma predeterminada, todas KMS las claves son privadas; solo el propietario del recurso puede usar una KMS clave para cifrar y descifrar los datos. Sin embargo, el propietario del recurso puede conceder permisos para acceder a la KMS clave a otros usuarios y recursos. El principal del servicio debe estar en la misma región en la que está almacenada la KMS clave.

    1. En primer lugar, guarde la política predeterminada de su KMS clave policy.json mediante el siguiente get-key-policycomando:

      $ aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json

    2. Abra el archivo policy.json en un editor de texto. Seleccione una de las siguientes declaraciones de política y agréguela a la política existente.

      Si su clave de bucket de Amazon S3 está habilitada, utilice la siguiente declaración:

      {
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":"arn:aws:s3:::bucket-name"
      }
   }
}

      Si su clave de bucket de Amazon S3 está deshabilitada, utilice la siguiente declaración:

      {
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":[
            "arn:aws:s3:::bucket-name/acm-pca-permission-test-key",
            "arn:aws:s3:::bucket-name/acm-pca-permission-test-key-private",
            "arn:aws:s3:::bucket-name/audit-report/*",
            "arn:aws:s3:::bucket-name/crl/*"
         ]
      }
   }
}

    3. Por último, aplique la política actualizada mediante el siguiente put-key-policycomando:

      $ aws kms put-key-policy --key-id key_id --policy-name default --policy file://policy.json