翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Private Certificate Authority 顧客 CP/CPS フレームワーク
AWS Private Certificate Authority は、オンプレミス CA を運用するための投資とメンテナンスのコストをかけずに、ルート CA と下位 CAs を含む認証機関 (CA) 階層を作成できるインフラストラクチャサービスを提供します。 AWS Private CA を使用して CA 階層を作成する場合、ユーザーと は責任を共有します AWS Private CA。責任共有モデルは、サービスが運用されている施設の物理的なセキュリティを AWS 運用、管理、制御する際の運用上の負担を軽減するのに役立ちます。お客様は、認証機関の責任と管理 (CA リソースの作成と削除、トラストアンカーの配布、PKI 階層の作成、証明書ポリシーとプラクティス、CA の共有を 間で許可または拒否するための設定 AWS アカウント、テンプレート使用のポリシー、監査、職務の分離を含むアクセス制御、その他の CA 設定とポリシーを含む) を引き受けます。使用するサービス、IT 環境へのそれらのサービスの統合、適用可能な法律や規制によって責任が異なるため、選択したサービスを慎重に検討する必要があります。詳細については、AWS クラウド 「セキュリティ責任共有モデル
プライベート認証機関の証明書ポリシー (CP) または証明書プラクティスステートメント (CPS) を作成することは、パブリックキーインフラストラクチャ (PKI) を管理する上で重要な部分です。CP は PKI のすべての要件/ルールを定義し、CPS は CP 要件を満たす方法を説明します。PKI の認証機関として CP と CPS を作成する責任があります。 は、AWS System and Organization Controls (SOC) 2 レポート
このドキュメントでは、CP と CPS の作成を支援する RFC 3647
CP/CPS の要件と責任
| CP/CPS 要件 | 責任 | 補足情報 |
|---|---|---|
| 1. Introduction (All) | You |
お客様は、概要、ドキュメント名と識別、PKI 参加者、証明書の使用、ポリシー管理、および PKI に関連する定義と頭字語を文書化する責任があります。 |
| 2. Publication and Repository Responsibilities (All) | You |
PKI に関連する定義を文書化するのはお客様の責任です。 |
| 3. Identification and Authentication (All) | You |
お客様は、証明書の発行前に、エンドユーザー証明書申請者の ID および/またはその他の属性を CA または登録機関 (RA) に認証するために使用される手順を文書化する責任があります。 |
| 4. Certificate Life-Cycle Operational Requirements (4.4.1 — 4.4.6, 4.4.9 — 4.4.11) | Shared |
お客様は、証明書のライフサイクルに関して、CA、サブジェクト CAs、RAs、サブスクライバー、またはその他の参加者の発行に課される要件を指定する責任があります。 AWS Private CA には、失効ステータスチェックをサポートする 2 つのフルマネージドメカニズムが用意されています。オンライン証明書ステータスプロトコル (OCSP) と、4.4.9 と 4.4.10 を満たすのに役立つ証明書失効リスト (CRLs) です。 |
| 4. Certificate Life-Cycle Operational Requirements (4.4.7, 4.4.8, 4.4.12) | N/A |
AWS Private CA は、証明書の再キー、証明書の変更、またはキーエスクローとリカバリをサポートしていません。 |
| 5. Facility, Management, and Operational Controls (4.5.1) | AWS Private CA |
SOC 2 タイプ 2 AWS Private CA レポートの範囲内にあるこのセクションの要件を満たすのに役立つアクセスコントロールを継承します (「セクション D.6 物理的セキュリティと環境保護」を参照)。 注記お客様は、 AWS 環境からエクスポートまたは転送された CA データの物理的なセキュリティとデータ分類に責任を負いますが、 に保存されている CA データの物理的なセキュリティには責任を負いません AWS。 |
| 5. Facility, Management, and Operational Controls (4.5.2) | Shared |
PKI 環境のオペレーションの信頼されたロールの定義に固有のこのセクションの要件を満たす責任があります。 AWS Private CA は、暗号化モジュールの物理アクセスに固有の信頼されたロールを維持します。 |
| 5. Facility, Management, and Operational Controls (4.5.3) | Shared |
お客様は、信頼された人物の身元調査、トレーニング、および懲戒処分の手順に固有のこのセクションの要件を満たす責任があります。 SOC 2 タイプ AWS Private CA 2 レポートの範囲内にある AWS 従業員の身元調査、トレーニング、および懲戒処分手順に関連するコントロールを継承します (セクション A. ポリシー、A.1 コントロール環境、B. コミュニケーション、D.1 セキュリティ組織、D.2 従業員ユーザーアクセスを参照)。 |
| 5. Facility, Management, and Operational Controls (4.5.4) | Shared |
お客様は、CloudTrail および監査レポートログと CloudWatch アラートを有効化、設定、保護する責任があります。さらに、ログ処理手順を作成し、このセクションの要件を満たす AWS Private CA サービスの使用の脆弱性評価を実行する責任があります。 ログの可用性に関連するコントロールを継承します。 物理アクセス/サイトセキュリティ、 CA/RA 設定管理、 AWS インフラストラクチャログのセキュリティ および SOC 2 タイプ 2 AWS Private CA レポートの範囲内にある AWS インフラストラクチャの脆弱性評価 (「セクション A.1 コントロール環境」を参照してください。 セクション C.1 サービスコミットメント D.2 従業員ユーザーアクセス D.3 論理セキュリティ、 D.6 物理的セキュリティと環境保護、 D.7 変更管理 D.8 データ整合性、 可用性、 および冗長性、 および E.1 モニタリングアクティビティ)。 |
| 5. Facility, Management, and Operational Controls (4.5.5) | Shared |
このセクションの要件を満たすバックアップ期間と保持期間を設定するのはお客様の責任です。 SOC 2 タイプ 2 AWS Private CA レポートの範囲内にあるログの可用性 (設定時) に関連するコントロールを継承します (「D.8 データ整合性、可用性、冗長性」を参照)。 |
| 5. Facility, Management, and Operational Controls (4.5.6) | N/A |
AWS Private CA はキーの切り替えをサポートしていません。 |
| 5. Facility, Management, and Operational Controls (4.5.7) | Shared |
お客様は、このセクションの要件を満たす AWS Private CA の使用に固有のインシデントおよび侵害処理手順を実装する責任があります。 AWS Private CA SOC 2 Type 2 プライバシーレポートの範囲内にあるこのセクションの要件を満たすのに役立つ、物理的なサイトの住宅およびインフラストラクチャ運用に固有のインシデント、侵害処理手順、事業継続性、ディザスタリカバリ手順を継承します (「D.8 データ整合性、可用性、冗長性」および「D.10 プライバシー」を参照)。 |
| 5. Facility, Management, and Operational Controls (4.5.8) | You |
CA および RA アーカイブレコードの管理者の ID など、CA または RA の終了と終了の手順に関する要件を文書化する必要があります。 |
| 6. Technical Controls (4.6.1) | Shared |
PKI のキー生成とインストールのニーズを文書化します。 AWS Private CA には、CA キー生成用に認定された FIPS 140-3 レベル 3 の暗号化モジュールが用意されています。 |
| 6. Technical Controls (4.6.2) | Shared |
お客様は、暗号化標準要件や複数人によるコントロールなどのプライベートキー保護と暗号化モジュールエンジニアリングコントロールを文書化する責任があります。 AWS Private CA には、CA キー生成と HSMs。 |
| 6. Technical Controls (4.6.3) | You |
お客様は、パブリックキーのアーカイブや証明書の運用期間など、キーペア管理の他の側面を文書化する責任があります。 |
| 6. Technical Controls (4.6.4) | N/A |
AWS AWS Private CA HSMs「アクティベーションデータ」という概念はありません。 注記プライベート CA にユーザーアクセスコントロールを実装して、CA を作成して証明書を発行する機能を適切に制限する責任があります。 |
| 6. Technical Controls (4.6.5) | Shared |
お客様は、プライベート CA を使用するためのコンピュータセキュリティコントロールを文書化する責任があります。 AWS Private CA SOC 2 タイプ 2 レポートの範囲内にある AWS 従業員の論理アクセス、 AWS インフラストラクチャのネットワークおよびコンピュータセキュリティコントロール、および AWS 従業員アカウントのパスワードパラメータコントロールに関連するコントロールを継承します (セクション D.2 従業員ユーザーアクセス、D.3 論理セキュリティ、および D.6 物理セキュリティと環境保護を参照してください)。 |
| 6. Technical Controls (4.6.6) | Shared |
お客様は、プライベート CA の使用に関連するセキュリティ管理コントロールを文書化する責任があります。 SOC 2 タイプ 2 AWS Private CA レポートの範囲内にある AWS Private CA サービスのシステム開発コントロールに関連するコントロールを継承します (「セクション D.7 変更管理」を参照)。 |
| 6. Technical Controls (4.6.7) | Shared |
PKI 環境に該当する場合は、プライベート CA の使用に関するネットワークセキュリティコントロールを文書化する責任があります。 SOC 2 タイプ 2 AWS Private CA レポートの範囲内にある AWS インフラストラクチャのネットワークセキュリティコントロールに関連するコントロールを継承します (セクション C.1 サービスコミットメント、D.3 論理セキュリティ、および E.1 モニタリングアクティビティを参照)。 |
| 6. Technical Controls (4.6.8) | AWS Private CA |
AWS Private CA は、信頼されたデータソースを使用して CA データをタイムスタンプします。 |
| 7. Certificate, CRL, and OCSP Profiles (All) | Shared |
PKI 環境のニーズを満たすプロファイル要件と証明書の入力を文書化します。 AWS Private CA には、プロファイル要件を満たすのに役立つプロファイルテンプレートが用意されています。 |
| 8. Compliance Audit and Other Assessment (All) | Shared |
コンプライアンス監査およびその他の評価を文書化するのはお客様の責任です。 AWS Private CA は、運用とコンプライアンスをサポートするために確立された AWS コントロールをユーザーと監査人が理解できるように、SOC 2 レポートを提供します。 |
| 9. Other Business and Legal Matters | You |
お客様は、プライベート CA に関する一般的なビジネスおよび法的事項を文書化する責任があります。 |
