翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Private Certificate Authority 顧客 CP/CPS フレームワーク
AWS Private Certificate Authority は、オンプレミス CA を運用するための投資とメンテナンスのコストなしで、ルート CA と下位 CAs を含む認証機関 (CA) 階層を作成できるインフラストラクチャサービスを提供します。 AWS Private CA を使用して CA 階層を作成する場合、ユーザーと は責任を共有します AWS Private CA。責任共有モデルは、サービスが運用されている施設の物理的なセキュリティを AWS 運用、管理、制御する際の運用上の負担を軽減するのに役立ちます。お客様は、認証機関の責任と管理 (CA リソースの作成と削除、トラストアンカーの配布、PKI 階層の作成、証明書ポリシーとプラクティス、CA 共有を 間で許可または拒否するための設定 AWS アカウント、テンプレート使用のポリシー、監査、職務の分離を含むアクセス制御、その他の CA 設定とポリシーを含む) を引き受けます。使用するサービス、IT 環境へのそれらのサービスの統合、適用可能な法律や規制によって責任が異なるため、選択したサービスを慎重に検討する必要があります。詳細については、AWS クラウド 「セキュリティ責任共有モデル
プライベート認証機関の証明書ポリシー (CP) または証明書プラクティスステートメント (CPS) を作成することは、パブリックキーインフラストラクチャ (PKI) を管理する上で重要な部分です。CP は PKI のすべての要件/ルールを定義し、CPS は CP 要件を満たす方法について説明します。PKI の認証機関として CP と CPS を作成する責任があります。 は、AWS System and Organization Controls (SOC) 2 レポート
このドキュメントでは、RFC 3647
CP/CPS の要件と責任
| CP/CPS 要件 | 責任 | 補足情報 |
|---|---|---|
| 1. Introduction (All) | You |
お客様は、概要、ドキュメント名と識別、PKI 参加者、証明書の使用法、ポリシー管理、および PKI に関連する定義と頭字語を文書化する責任があります。 |
| 2. Publication and Repository Responsibilities (All) | You |
PKI に関連する定義を文書化するのはお客様の責任です。 |
| 3. Identification and Authentication (All) | You |
お客様は、証明書の発行前に、エンドユーザー証明書申請者の ID および/またはその他の属性を CA または登録機関 (RA) に認証するために使用される手順を文書化する責任があります。 |
| 4. Certificate Life-Cycle Operational Requirements (4.4.1 — 4.4.6, 4.4.9 — 4.4.11) | Shared |
お客様は、証明書のライフサイクルに関して CA、サブジェクト CAs、RAs、サブスクライバー、またはその他の参加者の発行に課される要件を指定する責任があります。 AWS Private CA には、失効ステータスチェックをサポートする 2 つのフルマネージドメカニズムが用意されています。オンライン証明書ステータスプロトコル (OCSP) と、4.4.9 と 4.4.10 を満たすのに役立つ証明書失効リスト (CRLs) です。 |
| 4. Certificate Life-Cycle Operational Requirements (4.4.7, 4.4.8, 4.4.12) | N/A |
AWS Private CA は、証明書の再キー、証明書の変更、またはキーのエスクローとリカバリをサポートしていません。 |
| 5. Facility, Management, and Operational Controls (4.5.1) | AWS Private CA |
SOC 2 Type AWS Private CA 2 Report の範囲内にあるこのセクションの要件を満たすのに役立つアクセスコントロールを継承します (セクション D.6 物理的セキュリティと環境保護を参照)。 注記お客様は、 AWS 環境からエクスポートまたは転送された CA データの物理的なセキュリティとデータ分類に責任を負いますが、 に保存されている CA データの物理的なセキュリティには責任を負いません AWS。 |
| 5. Facility, Management, and Operational Controls (4.5.2) | Shared |
PKI 環境のオペレーションの信頼されたロールの定義に固有のこのセクションの要件を満たす責任があります。 AWS Private CA は、暗号化モジュールの物理アクセスに固有の信頼されたロールを維持します。 |
| 5. Facility, Management, and Operational Controls (4.5.3) | Shared |
このセクションの要件を満たすのは、信頼された人物の身元調査、トレーニング、および懲戒処分の手順に固有の責任です。 SOC 2 タイプ AWS Private CA 2 レポートの範囲内にある AWS 従業員の身元調査、トレーニング、および懲戒処分手順に関連するコントロールを継承します (セクション A. ポリシー、A.1 コントロール環境、B. コミュニケーション、D.1 セキュリティ組織、D.2 従業員ユーザーアクセスを参照)。 |
| 5. Facility, Management, and Operational Controls (4.5.4) | Shared |
ユーザーは、CloudTrail と監査レポートログ、および CloudWatch アラートを有効化、設定、保護する責任があります。さらに、このセクションの要件を満たすログ処理手順を作成し、 AWS Private CA サービスの使用に関する脆弱性評価を実行する責任があります。 ログの可用性に関連するコントロールを継承します。 物理アクセス/サイトセキュリティ、 CA/RA 設定管理 AWS インフラストラクチャログのセキュリティ および SOC 2 Type AWS Private CA 2 Report の範囲内にある AWS インフラストラクチャの脆弱性評価 (「セクション A.1 コントロール環境」を参照してください。 セクション C.1 サービスコミットメント D.2 従業員のユーザーアクセス D.3 論理セキュリティ、 D.6 物理的セキュリティと環境保護 D.7 変更管理 D.8 データ整合性、 可用性 および冗長性、 および E.1 モニタリングアクティビティ)。 |
| 5. Facility, Management, and Operational Controls (4.5.5) | Shared |
このセクションの要件を満たすバックアップ期間と保持期間を設定するのはお客様の責任です。 SOC 2 タイプ 2 AWS Private CA レポートの範囲内にあるログの可用性 (設定時) に関連するコントロールを継承します (「D.8 データ整合性、可用性、冗長性」を参照)。 |
| 5. Facility, Management, and Operational Controls (4.5.6) | N/A |
AWS Private CA はキーの切り替えをサポートしていません。 |
| 5. Facility, Management, and Operational Controls (4.5.7) | Shared |
このセクションの AWS Private CA 要件を満たす の使用に固有のインシデントおよび侵害処理手順を実装する責任があります。 AWS Private CA SOC 2 Type 2 プライバシーレポートの範囲内にあるこのセクションの要件を満たすのに役立つ、物理的なサイト住宅およびインフラストラクチャ運用に固有のインシデント、侵害処理手順、事業継続性、ディザスタリカバリ手順を継承します (「D.8 データ整合性、可用性、冗長性」および「D.10 プライバシー」を参照)。 |
| 5. Facility, Management, and Operational Controls (4.5.8) | You |
CA および RA アーカイブレコードの保管者の身元など、CA または RA の終了と終了の手順に関する要件を文書化する必要があります。 |
| 6. Technical Controls (4.6.1) | Shared |
PKI のキー生成とインストールのニーズを文書化するのはお客様の責任です。 AWS Private CA には、CA キー生成用に FIPS 140-3 レベル 3 認定の暗号化モジュールが用意されています。 |
| 6. Technical Controls (4.6.2) | Shared |
お客様は、暗号化標準要件や複数人によるコントロールなどのプライベートキー保護と暗号化モジュールエンジニアリングコントロールを文書化する責任があります。 AWS Private CA には、CA キー生成と HSMs。 |
| 6. Technical Controls (4.6.3) | You |
お客様は、パブリックキーのアーカイブや証明書の運用期間など、キーペア管理のその他の側面を文書化する責任があります。 |
| 6. Technical Controls (4.6.4) | N/A |
AWS AWS Private CA HSMs「アクティベーションデータ」という概念はありません。 注記プライベート CA へのユーザーアクセスコントロールを実装して、CA の作成と証明書の発行機能を適切に制限する責任はお客様にあります。 |
| 6. Technical Controls (4.6.5) | Shared |
お客様は、プライベート CA を使用するためのコンピュータセキュリティコントロールを文書化する責任があります。 AWS Private CA SOC 2 Type 2 Report の範囲内にある AWS 従業員 AWS アカウントの論理アクセス、 AWS インフラストラクチャのネットワークおよびコンピュータセキュリティコントロール、パスワードパラメータコントロールに関連するコントロールを継承します (セクション D.2 従業員ユーザーアクセス、D.3 論理セキュリティ、および D.6 物理セキュリティと環境保護を参照してください)。 |
| 6. Technical Controls (4.6.6) | Shared |
お客様は、プライベート CA の使用に関連するセキュリティ管理コントロールを文書化する責任があります。 SOC 2 タイプ 2 AWS Private CA レポートの範囲内にある AWS Private CA サービスのシステム開発コントロールに関連するコントロールを継承します (セクション D.7 変更管理を参照)。 |
| 6. Technical Controls (4.6.7) | Shared |
PKI 環境に該当する場合は、プライベート CA の使用に関するネットワークセキュリティコントロールを文書化する責任があります。 SOC 2 タイプ 2 AWS Private CA レポートの範囲内にある AWS インフラストラクチャのネットワークセキュリティコントロールに関連するコントロールを継承します (セクション C.1 サービスコミットメント、D.3 論理セキュリティ、および E.1 モニタリングアクティビティを参照)。 |
| 6. Technical Controls (4.6.8) | AWS Private CA |
AWS Private CA は、信頼されたデータソースを使用して CA データをタイムスタンプします。 |
| 7. Certificate, CRL, and OCSP Profiles (All) | Shared |
PKI 環境のニーズを満たすプロファイル要件と証明書入力を文書化するのはお客様の責任です。 AWS Private CA には、プロファイル要件を満たすのに役立つプロファイルテンプレートが用意されています。 |
| 8. Compliance Audit and Other Assessment (All) | Shared |
コンプライアンス監査およびその他の評価を文書化するのはお客様の責任です。 AWS Private CA は、運用とコンプライアンスをサポートするために確立された AWS コントロールをユーザーと監査人が理解できるように、SOC 2 レポートを提供します。 |
| 9. Other Business and Legal Matters | You |
お客様は、プライベート CA を対象とする一般的なビジネスおよび法的事項を文書化する責任があります。 |
