Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurer pour utiliser AWS Certificate Manager
Avec AWS Certificate Manager (ACM) vous pouvez fournir et gérer SSL des TLS certificats pour votre AWS sites Web et applications basés. Vous pouvez l'ACMutiliser pour créer ou importer puis gérer un certificat. Vous devez utiliser un autre AWS services permettant de déployer le certificat sur votre site Web ou votre application. Pour plus d'informations sur les services intégrés àACM, consultezServices intégrés à ACM. Les sections suivantes décrivent les étapes à suivre avant de l'utiliserACM.
Rubriques
Inscrivez-vous pour un Compte AWS
Si vous n'avez pas de Compte AWS, procédez comme suit pour en créer un.
Pour vous inscrire à un Compte AWS
Suivez les instructions en ligne.
Dans le cadre de la procédure d‘inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.
Lorsque vous vous inscrivez à un Compte AWS, une Utilisateur racine d'un compte AWSest créé. L'utilisateur root a accès à tous Services AWS et les ressources du compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l‘utilisateur racine pour effectuer les tâches nécessitant un accès utilisateur racine.
AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. À tout moment, vous pouvez consulter l'activité actuelle de votre compte et gérer votre compte en accédant à https://aws.amazon.com/
Création d'un utilisateur doté d'un accès administratif
Après avoir souscrit à un Compte AWS, sécurisez votre Utilisateur racine d'un compte AWS, activer AWS IAM Identity Center, et créez un utilisateur administratif afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.
Sécurisez votre Utilisateur racine d'un compte AWS
-
Connectez-vous au AWS Management Console
en tant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre Compte AWS adresse e-mail. Sur la page suivante, saisissez votre mot de passe. Pour obtenir de l'aide pour vous connecter à l'aide de l'utilisateur root, consultez la section Connexion en tant qu'utilisateur root dans Connexion à AWS Guide de l'utilisateur.
-
Activez l'authentification multifactorielle (MFA) pour votre utilisateur root.
Pour obtenir des instructions, voir Activer un MFA appareil virtuel pour votre Compte AWS utilisateur root (console) dans le guide de IAM l'utilisateur.
Création d'un utilisateur doté d'un accès administratif
-
Activez IAM Identity Center.
Pour obtenir des instructions, voir Activation AWS IAM Identity Center dans le .AWS IAM Identity Center Guide de l'utilisateur.
-
Dans IAM Identity Center, accordez un accès administratif à un utilisateur.
Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir Configurer l'accès utilisateur avec la valeur par défaut Répertoire IAM Identity Center dans le .AWS IAM Identity Center Guide de l'utilisateur.
Connexion en tant qu‘utilisateur doté d'un accès administratif
-
Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l'URLidentifiant envoyé à votre adresse e-mail lorsque vous avez créé l'utilisateur IAM Identity Center.
Pour obtenir de l'aide pour vous connecter à l'aide d'un utilisateur d'IAMIdentity Center, consultez la section Connexion au AWS portail d'accès dans le Connexion à AWS Guide de l'utilisateur.
Attribution d'un accès à d'autres utilisateurs
-
Dans IAM Identity Center, créez un ensemble d'autorisations conforme à la meilleure pratique consistant à appliquer les autorisations du moindre privilège.
Pour obtenir des instructions, voir Créer un ensemble d'autorisations dans AWS IAM Identity Center Guide de l'utilisateur.
-
Attribuez des utilisateurs à un groupe, puis attribuez un accès par authentification unique au groupe.
Pour obtenir des instructions, voir Ajouter des groupes dans AWS IAM Identity Center Guide de l'utilisateur.
Enregistrez un nom de domaine pour ACM
Un nom de domaine complet (FQDN) est le nom unique d'une organisation ou d'un individu sur Internet suivi d'une extension de domaine de premier niveau telle que .com ou .org. Si vous n'avez pas encore de nom de domaine enregistré, vous pouvez en enregistrer un par l'intermédiaire d'Amazon Route 53 ou de dizaines d'autres bureaux d'enregistrement commerciaux. En général, vous accédez au site Web du registre et vous demandez un nom de domaine. L'enregistrement d'un nom de domaine dure généralement pendant une période définie, par exemple un ou deux ans, avant de devoir être renouvelé.
Pour plus d'informations sur l'enregistrement des noms de domaine avec Amazon Route 53, consultez Enregistrement de noms de domaines à l'aide d'Amazon Route 53 dans le Guide du développeur Amazon Route 53.
(Facultatif) Configurer un CAA enregistrement
Un CAA enregistrement indique quelles autorités de certification (CAs) sont autorisées à délivrer des certificats pour un domaine ou un sous-domaine. La création d'un CAA enregistrement à utiliser ACM permet d'éviter que des personnes mal CAs intentionnées ne délivrent des certificats pour vos domaines. Un CAA enregistrement ne remplace pas les exigences de sécurité spécifiées par votre autorité de certification, telles que l'obligation de valider que vous êtes le propriétaire d'un domaine.
Après avoir ACM validé votre domaine pendant le processus de demande de certificat, il vérifie la présence d'un CAA enregistrement afin de s'assurer qu'il peut émettre un certificat pour vous. La configuration d'un CAA enregistrement est facultative.
Utilisez les valeurs suivantes lorsque vous configurez votre CAA enregistrement :
- flags (indicateurs)
-
Spécifie si la valeur du champ de balise est prise en charge parACM. Définissez cette valeur sur 0.
- tag (balise)
-
Le champ tag peut comporter l'une des valeurs suivantes. Notez que le champ iodef est ignoré actuellement.
- issue
-
Indique que l'ACMautorité de certification que vous spécifiez dans le champ de valeur est autorisée à délivrer un certificat pour votre domaine ou sous-domaine.
- issuewild
-
Indique que l'ACMautorité de certification que vous avez spécifiée dans le champ de valeur est autorisée à délivrer un certificat générique pour votre domaine ou sous-domaine. Un certificat générique s'applique au domaine ou sous-domaine et à tous ses sous-domaines.
- valeur
-
La valeur de ce champ dépend de la valeur du champ tag. Vous devez placer cette valeur entre guillemets ("").
- Lors de la valeur du champ tag est issue
-
Le champ value contient le nom de domaine de l'autorité de certification (CA). Ce champ peut contenir le nom d'une CA autre qu'une CA Amazon. Toutefois, si vous ne disposez pas d'un CAA enregistrement spécifiant l'un des quatre Amazon suivantsCAs, vous ACM ne pouvez pas délivrer de certificat pour votre domaine ou sous-domaine :
-
amazon.com
-
amazontrust.com
-
awstrust.com
-
amazonaws.com
Le champ de valeur peut également contenir un point-virgule (;) pour indiquer qu'aucune CA ne doit être autorisée à émettre un certificat pour votre domaine ou sous-domaine. Utilisez ce champ si vous décidez à un moment donné que vous ne souhaitez plus recevoir un certificat émis pour un domaine particulier.
-
- Lors de la valeur de tag est issuewild
-
Le champ value est le même que lorsque la valeur de tag est issue, sauf que la valeur s'applique aux certificats génériques.
Lorsqu'un CAA enregistrement issuewild n'inclut pas de valeur ACM CA, aucun joker ne peut être émis par. ACM Si aucun issuewild n'est présent, mais qu'il existe un CAA historique de problèmeACM, des jokers peuvent être émis par. ACM
Exemple CAAExemples d'enregistrements
Dans les exemples suivants, votre nom de domaine vient en premier, suivi du type d'enregistrement (CAA). Le champ flags a toujours la valeur 0. Le champ tags peut avoir pour valeur issue ou issuewild. Si le champ est un problème et que vous tapez le nom de domaine d'un serveur CA dans le champ de valeur, l'CAAenregistrement indique que le serveur que vous avez spécifié est autorisé à délivrer le certificat demandé. Si vous tapez un point-virgule « ; » dans le champ de valeur, l'CAAenregistrement indique qu'aucune autorité de certification n'est autorisée à délivrer un certificat. La configuration des CAA enregistrements varie selon le DNS fournisseur.
Domain Record type Flags Tag Value
example.com. CAA 0 issue "SomeCA.com"
Domain Record type Flags Tag Value
example.com. CAA 0 issue "amazon.com"
Domain Record type Flags Tag Value
example.com. CAA 0 issue "amazontrust.com"
Domain Record type Flags Tag Value
example.com. CAA 0 issue "awstrust.com"
Domain Record type Flags Tag Value
example.com. CAA 0 issue "amazonaws.com"
Domain Record type Flags Tag Value
example.com CAA 0 issue ";"
Pour plus d'informations sur la façon d'ajouter ou de modifier DNS des enregistrements, contactez votre DNS fournisseur. Route 53 prend en charge CAA les enregistrements. Si Route 53 est votre DNS fournisseur, consultez CAAFormat pour plus d'informations sur la création d'un enregistrement.