Utilizzo dei report di controllo con la tua CA privata - AWS Private Certificate Authority
Preparazione di un bucket Amazon S3 per i report di controlloCreazione di un rapporto di controlloRecupero di un rapporto di auditCrittografia dei report di controllo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei report di controllo con la tua CA privata

È possibile creare un report di audit per elencare i certificati emessi o revocati dalla CA privata. Il report viene salvato in un bucket S3 nuovo o esistente specificato nell'input.

Per informazioni sull'aggiunta della protezione di crittografia ai report di audit, consulta Crittografia dei report di controllo .

Il file del rapporto di controllo ha il percorso e il nome di file seguenti. L'ARN per un bucket Amazon S3 è il valore per. bucket-name CA_IDè l'identificatore univoco di una CA emittente. UUIDè l'identificatore univoco di un rapporto di audit. 

bucket-name/audit-report/CA_ID/UUID.[json|csv]

È possibile generare un nuovo report ogni 30 minuti e scaricarlo dal bucket. Nell'esempio seguente viene illustrato un report CSV.

awsAccountId,requestedByServicePrincipal,certificateArn,serial,subject,notBefore,notAfter,issuedAt,revokedAt,revocationReason,templateArn
123456789012,,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4e5f6a,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T21:43:57+0000,2020-04-07T22:43:57+0000,2020-03-02T22:43:58+0000,,UNSPECIFIED,arn:aws:acm-pca:::template/EndEntityCertificate/V1
123456789012,acm.amazonaws.com,arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID,ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00,"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",2020-03-02T20:53:39+0000,2020-04-07T21:53:39+0000,2020-03-02T21:53:40+0000,,,arn:aws:acm-pca:::template/EndEntityCertificate/V1

Il seguente esempio mostra un report formattato JSON. 

[
   {
      "awsAccountId":"123456789012",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff",
      "subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2020-02-26T18:39:57+0000",
      "notAfter":"2021-02-26T19:39:57+0000",
      "issuedAt":"2020-02-26T19:39:58+0000",
      "revokedAt":"2020-02-26T20:00:36+0000",
      "revocationReason":"UNSPECIFIED",
      "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
   },
   {
      "awsAccountId":"123456789012",
      "requestedByServicePrincipal":"acm.amazonaws.com",
      "certificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID",
      "serial":"ff:ee:dd:cc:bb:aa:99:88:77:66:55:44:33:22:11:00",
      "subject":"2.5.4.5=#012345678901,2.5.4.44=#0a1b3c4d,2.5.4.65=#0a1b3c4d5e6f,2.5.4.43=#0a1b3c4d5e,2.5.4.42=#0123456789abcdef0123456789abcdef0123,2.5.4.4=#0123456789abcdef01234567,2.5.4.12=#0a1b3c4d5e,2.5.4.46=#0123456789ab,CN=www.example1.com,OU=Sales,O=Example Company,L=Seattle,ST=Washington,C=US",
      "notBefore":"2020-01-22T20:10:49+0000",
      "notAfter":"2021-01-17T21:10:49+0000",
      "issuedAt":"2020-01-22T21:10:49+0000",
      "templateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
   }
]
Nota

Quando AWS Certificate Manager rinnova un certificato, il rapporto di audit CA privato compila il campo con. requestedByServicePrincipal acm.amazonaws.com Ciò indica che il AWS Certificate Manager servizio ha richiamato l'IssueCertificateazione dell' CA privata AWS API per conto di un cliente per rinnovare il certificato.

Preparazione di un bucket Amazon S3 per i report di controllo

Importante

AWS Private CA non supporta l'uso di Amazon S3 Object Lock. Se attivi Object Lock sul tuo bucket, AWS Private CA non è in grado di scrivere report di controllo nel bucket.

Per archiviare i report di controllo, devi preparare un bucket Amazon S3. Per ulteriori informazioni, consulta Come si crea un bucket S3?

Il tuo bucket S3 deve essere protetto da una politica di autorizzazioni allegata. Gli utenti e i responsabili del servizio autorizzati richiedono Put l'autorizzazione per consentire di CA privata AWS inserire oggetti nel bucket e l'autorizzazione per recuperarli. Get Ti consigliamo di applicare la politica mostrata di seguito, che limita l'accesso sia a un AWS account che all'ARN di una CA privata. Per ulteriori informazioni, consulta Aggiungere una policy sui bucket utilizzando la console Amazon S3.

Nota

Durante la procedura della console per la creazione di un rapporto di controllo, puoi scegliere di consentire la CA privata AWS creazione di un nuovo bucket e applicare una politica di autorizzazioni predefinita. La politica predefinita non applica alcuna SourceArn restrizione alla CA ed è quindi più permissiva della politica consigliata. Se scegli l'impostazione predefinita, puoi sempre modificarla in un secondo momento.

{
   "Version":"2012-10-17",
   "Statement":[
      {
       	 "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
         ],
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"account",
               "aws:SourceArn":"arn:partition:acm-pca:region:account:certificate-authority/CA_ID"
            }
         }
      }
   ]
}

Creazione di un rapporto di controllo

È possibile creare un rapporto di controllo dalla console o dal AWS CLI.

Per creare un report di audit (console)

  1. Accedi al tuo AWS account e apri la CA privata AWS console all'indirizzo https://console.aws.amazon.com/acm-pca/home.

  2. Nella pagina Autorizzazioni di certificazione private, scegli la tua CA privata dall'elenco.

  3. Dal menu Operazioni scegliere Genera report di audit.

  4. In Audit report destination, per Creare un nuovo bucket S3? , scegli e digita un nome di bucket univoco oppure scegli No e scegli un bucket esistente dall'elenco.

    Se scegli , CA privata AWS crea e allega la politica predefinita al tuo bucket. Se scegli No, devi allegare una policy al tuo bucket prima di poter generare un rapporto di controllo. Utilizza il modello di policy descritto inPreparazione di un bucket Amazon S3 per i report di controllo. Per informazioni su come allegare una policy, consulta Aggiungere una bucket policy usando la console Amazon S3

  5. In Formato di output, scegli JSON per JavaScript Object Notation o CSV per i valori separati da virgole.

  6. Scegliere Generate audit report (Genera report di audit).

Per creare un report di audit (AWS CLI)

  1. Se non hai già un bucket S3 da usare, creane uno.

  2. Allega una policy al tuo bucket. Utilizza il modello di policy descritto inPreparazione di un bucket Amazon S3 per i report di controllo. Per informazioni su come allegare una policy, consulta Aggiungere una bucket policy usando la console Amazon S3

  3. Usa il comando create-certificate-authority-audit-report per creare il report di audit e inserirlo nel bucket S3 preparato.

    $ aws acm-pca create-certificate-authority-audit-report \
--certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--s3-bucket-name bucket_name \
--audit-report-response-format JSON

Recupero di un rapporto di audit

Per recuperare un rapporto di controllo per l'ispezione, utilizza la console Amazon S3, l'API, la CLI o l'SDK. Per ulteriori informazioni, consulta Downloading an object nella Amazon Simple Storage Service User Guide.

Crittografia dei report di controllo

Facoltativamente, puoi configurare la crittografia sul bucket Amazon S3 contenente i report di controllo. CA privata AWS supporta due modalità di crittografia per gli asset in S3:

  • Crittografia automatica lato server con chiavi AES-256 gestite da Amazon S3.

  • Crittografia gestita dal cliente utilizzando AWS Key Management Service e configurata secondo le tue specifiche. AWS KMS key

Nota

CA privata AWS non supporta l'utilizzo di chiavi KMS predefinite generate automaticamente da S3.

Nelle procedure seguenti viene descritto come impostare ciascuna delle opzioni di crittografia.

Per configurare la crittografia automatica

Completare la procedura seguente per abilitare la crittografia lato server S3.

  1. Apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Nella tabella Bucket, scegli il bucket che conterrà i tuoi asset. CA privata AWS

  3. Nella pagina relativa al bucket scegliere la scheda Proprietà .

  4. Scegliere la scheda di crittografia predefinita.

  5. Scegli Abilita .

  6. Scegli la chiave Amazon S3 (SSE-S3).

  7. Seleziona Salva modifiche.

Per configurare la crittografia personalizzata

Completa i seguenti passaggi per abilitare la crittografia utilizzando una chiave personalizzata.

  1. Apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Nella tabella Bucket, scegli il bucket che conterrà i tuoi CA privata AWS asset.

  3. Nella pagina relativa al bucket scegliere la scheda Proprietà .

  4. Scegliere la scheda di crittografia predefinita.

  5. Scegli Abilita .

  6. Scegli la AWS Key Management Service chiave (SSE-KMS).

  7. Scegli tra AWS KMS le tue chiavi o Inserisci AWS KMS key ARN.

  8. Seleziona Salva modifiche.

  9. (Facoltativo) Se non disponi già di una chiave KMS, creane una utilizzando il seguente comando AWS CLI create-key:

    $ aws kms create-key

    L'output contiene l'ID della chiave e l'Amazon Resource Name (ARN) della chiave KMS. Di seguito è riportato un esempio di output:

    {
    "KeyMetadata": {
        "KeyId": "01234567-89ab-cdef-0123-456789abcdef",
        "Description": "",
        "Enabled": true,
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "CreationDate": 1478910250.94,
        "Arn": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef",
        "AWSAccountId": "123456789012"
    }
}

  10. Utilizzando i passaggi seguenti, si concede al CA privata AWS servizio l'autorizzazione principale a utilizzare la chiave KMS. Per impostazione predefinita, tutte le chiavi KMS sono private; solo il proprietario della risorsa può utilizzare una chiave KMS per crittografare e decrittografare i dati. Tuttavia, il proprietario della risorsa può concedere ad altri utenti e risorse le autorizzazioni per accedere alla chiave KMS. L'entità del servizio deve trovarsi nella stessa regione in cui è archiviata la chiave KMS.

    1. Innanzitutto, salva la politica predefinita per la tua chiave KMS policy.json utilizzando il seguente comando: get-key-policy

      $ aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json

    2. Apri il file policy.json in un editor di testo. Seleziona una delle seguenti dichiarazioni politiche e aggiungila alla politica esistente.

      Se la tua chiave bucket Amazon S3 è abilitata, usa la seguente dichiarazione:

      {
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":"arn:aws:s3:::bucket-name"
      }
   }
}

      Se la tua chiave bucket Amazon S3 è disabilitata, usa la seguente dichiarazione:

      {
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":[
            "arn:aws:s3:::bucket-name/acm-pca-permission-test-key",
            "arn:aws:s3:::bucket-name/acm-pca-permission-test-key-private",
            "arn:aws:s3:::bucket-name/audit-report/*",
            "arn:aws:s3:::bucket-name/crl/*"
         ]
      }
   }
}

    3. Infine, applica la policy aggiornata utilizzando il seguente comando: put-key-policy

      $ aws kms put-key-policy --key-id key_id --policy-name default --policy file://policy.json