AWS Private CA praktik terbaik - AWS Private Certificate Authority
Mendokumentasikan struktur dan kebijakan CAMinimalkan penggunaan CA akar jika memungkinkan Berikan root CA miliknya sendiri Akun AWSPeran administrator dan penerbit terpisahMelaksanakan pencabutan sertifikat yang dikelolaMengaktifkan AWS CloudTrailMemutar kunci privat CAHapus CA yang tidak digunakanBlokir akses publik ke CRL AndaPraktik terbaik aplikasi Amazon EKS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Private CA praktik terbaik

Praktik terbaik adalah rekomendasi yang dapat membantu Anda menggunakannya AWS Private CA secara efektif. Praktik terbaik berikut didasarkan pada pengalaman dunia nyata dari saat ini AWS Certificate Manager dan AWS Private CA pelanggan.

Mendokumentasikan struktur dan kebijakan CA

AWS merekomendasikan untuk mendokumentasikan semua kebijakan dan praktik Anda untuk mengoperasikan CA Anda. Ini mungkin termasuk:

  • Penalaran untuk keputusan Anda tentang struktur CA

  • Diagram yang menunjukkan CA Anda dan hubungannya

  • Kebijakan tentang masa validasi CA

  • Merencanakan suksesi CA

  • Kebijakan pada panjang jalur

  • Izin katalog

  • Deskripsi struktur kontrol administratif

  • Keamanan

Anda dapat menangkap informasi ini dalam dua dokumen, yang dikenal sebagai Kebijakan Sertifikasi (CP) dan Pernyataan Praktik Sertifikasi (CPS). Baca RFC 3647 untuk kerangka kerja untuk mendapatkan informasi penting tentang operasi CA Anda.

Minimalkan penggunaan CA akar jika memungkinkan

CA akar secara umum hanya boleh digunakan untuk menerbitkan sertifikat untuk CA perantara. Hal ini memungkinkan CA akar disimpan dari bahaya sementara CA perantara melakukan tugas harian menerbitkan sertifikat entitas akhir.

Namun, jika praktik organisasi Anda saat ini adalah menerbitkan sertifikat entitas akhir langsung dari root CA, AWS Private CA dapat mendukung alur kerja ini sekaligus meningkatkan keamanan dan kontrol operasional. Menerbitkan sertifikat entitas akhir dalam skenario ini memerlukan kebijakan izin IAM yang mengizinkan CA akar Anda untuk menggunakan templat sertifikat entitas akhir. Untuk informasi selengkapnya tentang kebijakan IAM, lihat Identity and Access Management (IAM) untuk AWS Private Certificate Authority.

catatan

Konfigurasi ini memberlakukan batasan yang dapat mengakibatkan tantangan operasional. Misalnya, jika CA akar Anda disusupi atau hilang, Anda harus membuat CA akar baru dan mendistribusikannya ke semua klien di lingkungan Anda. Sampai proses pemulihan ini selesai, Anda tidak akan dapat menerbitkan sertifikat baru. Penerbitan sertifikat langsung dari CA akar juga mencegah Anda membatasi akses dan membatasi jumlah sertifikat yang dikeluarkan dari akar Anda, yang keduanya dianggap sebagai praktik terbaik untuk mengelola CA akar.

Berikan root CA miliknya sendiri Akun AWS

Membuat CA root dan CA bawahan dalam dua AWS akun berbeda adalah praktik terbaik yang direkomendasikan. Melakukannya dapat memberi Anda perlindungan tambahan dan kontrol akses untuk CA akar Anda. Anda dapat melakukannya dengan mengekspor CSR dari CA bawahan di satu akun, dan menandatanganinya dengan CA akar di akun lain. Manfaat dari pendekatan ini adalah Anda dapat memisahkan kontrol CA Anda berdasarkan akun. Kerugiannya adalah Anda tidak dapat menggunakan AWS Management Console wizard untuk menyederhanakan proses penandatanganan sertifikat CA CA CA bawahan dari CA root Anda.

penting

Kami sangat menyarankan penggunaan otentikasi multi-faktor (MFA) setiap kali Anda mengakses. AWS Private CA

Peran administrator dan penerbit terpisah

Peran administrator CA harus terpisah dari pengguna yang hanya perlu menerbitkan sertifikat entitas akhir. Jika administrator CA dan penerbit sertifikat berada di tempat yang samaAkun AWS, Anda dapat membatasi izin penerbit dengan membuat pengguna IAM khusus untuk tujuan tersebut.

Melaksanakan pencabutan sertifikat yang dikelola

Pencabutan terkelola secara otomatis memberikan pemberitahuan kepada klien sertifikat ketika sertifikat telah dicabut. Anda mungkin perlu mencabut sertifikat jika informasi kriptografinya telah dikompromikan atau jika dikeluarkan karena kesalahan. Klien biasanya menolak untuk menerima sertifikat yang dicabut. AWS Private CAmenawarkan dua opsi standar untuk pencabutan terkelola: Protokol Status Sertifikat Online (OCSP), dan daftar pencabutan sertifikat (CRL). Untuk informasi selengkapnya, lihat Menyiapkan metode pencabutan sertifikat.

Mengaktifkan AWS CloudTrail

Aktifkan CloudTrail pencatatan sebelum Anda membuat dan mulai mengoperasikan CA pribadi. Dengan CloudTrail, Anda dapat mengambil riwayat panggilan AWS API untuk akun Anda untuk memantau AWS penerapan Anda. Riwayat ini mencakup panggilan API yang dibuat dari AWS Management Console, AWSSDK, AWS Command Line Interface, dan layanan AWS tingkat yang lebih tinggi. Anda juga dapat mengidentifikasi pengguna dan akun mana yang disebut operasi API PCA, alamat IP sumber asal panggilan, dan kapan panggilan terjadi. Anda dapat mengintegrasikan CloudTrail ke dalam aplikasi menggunakan API, mengotomatiskan pembuatan jejak untuk organisasi Anda, memeriksa status jejak Anda, dan mengontrol cara administrator mengaktifkan dan menonaktifkan CloudTrail log. Untuk informasi lebih lanjut, lihat Membuat Jejak. Pergi ke Menggunakan CloudTrail untuk melihat contoh jejak untuk AWS Private CA operasi.

Memutar kunci privat CA

Ini adalah praktik terbaik untuk memperbarui kunci privat untuk CA privat Anda secara berkala. Anda dapat memperbarui kunci dengan mengimpor sertifikat CA baru, atau Anda dapat mengganti CA privat dengan CA baru.

catatan

Jika Anda mengganti CA itu sendiri, ketahuilah bahwa ARN CA berubah. Ini akan menyebabkan otomatisasi yang mengandalkan ARN hard-code gagal.

Hapus CA yang tidak digunakan

Anda dapat menghapus CA privat secara permanen. Anda mungkin ingin melakukannya jika Anda tidak lagi membutuhkan CA atau jika Anda ingin menggantinya dengan CA yang memiliki kunci privat yang lebih baru. Untuk menghapus CA dengan aman, kami sarankan Anda mengikuti proses yang diuraikan dalam Menghapus CA privat Anda.

catatan

AWS menagihkan Anda untuk CA sampai itu dihapus.

Blokir akses publik ke CRL Anda

AWS Private CAmerekomendasikan penggunaan fitur Amazon S3 Block Public Access (BPA) pada bucket yang berisi CRL. Ini menghindari pengungkapan detail PKI pribadi Anda yang tidak perlu kepada musuh potensial. BPA adalah praktik terbaik S3 dan diaktifkan secara default pada bucket baru. Pengaturan tambahan diperlukan dalam beberapa kasus. Untuk informasi selengkapnya, lihat Mengaktifkan S3 Block Public Access (BPA) dengan CloudFront.

Praktik terbaik aplikasi Amazon EKS

Saat menggunakan AWS Private CA untuk menyediakan Amazon EKS dengan sertifikat X.509, ikuti rekomendasi untuk mengamankan lingkungan multi-penyewa di Panduan Praktik Terbaik Amazon EKS. Untuk informasi umum tentang integrasi AWS Private CA dengan Kubernetes, lihat. Mengamankan Kubernetes dengan AWS Private CA