CA privada da AWS melhores práticas - AWS Private Certificate Authority
Documentar a estrutura e as políticas da CAMinimizar o uso da CA raiz, se possível Forneça sua própria CA raiz Conta da AWSPerfis separados de administrador e emissorImplementar a revogação gerenciada de certificadosAtivar AWS CloudTrailAlternar a chave privada da CAExcluir não utilizado CAsBloqueie o acesso público ao seu CRLsMelhores práticas EKS de aplicativos da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

CA privada da AWS melhores práticas

As melhores práticas são recomendações que podem ajudar você a usar CA privada da AWS com eficiência. As melhores práticas a seguir são baseadas na experiência real de clientes atuais AWS Certificate Manager e CA privada da AWS atuais.

Documentar a estrutura e as políticas da CA

AWS recomenda documentar todas as suas políticas e práticas para operar sua CA. Isso pode incluir:

  • O motivo de suas decisões sobre a estrutura da CA

  • Um diagrama mostrando seus relacionamentos CAs e os deles

  • Políticas sobre períodos de validade da CA

  • Planejamento da sucessão da CA

  • Políticas sobre o comprimento do caminho

  • Catálogo de permissões

  • Descrição das estruturas de controle administrativo

  • Segurança

Você pode capturar essas informações em dois documentos, conhecidos como Política de Certificação (CP) e Declaração de Práticas de Certificação (CPS). Consulte RFC3647 para obter uma estrutura para capturar informações importantes sobre suas operações de CA.

Minimizar o uso da CA raiz, se possível

Em geral, uma CA raiz só deve ser usada para emitir certificados para intermediáriosCAs. Isso permite que a CA raiz seja armazenada fora de perigo, enquanto o intermediário CAs executa a tarefa diária de emitir certificados de entidade final.

No entanto, se a prática atual da sua organização é emitir certificados de entidade final diretamente de uma CA raiz, ela CA privada da AWS pode suportar esse fluxo de trabalho e, ao mesmo tempo, melhorar os controles operacionais e de segurança. A emissão de certificados de entidade final nesse cenário requer uma política de IAM permissões que permita que sua CA raiz use um modelo de certificado de entidade final. Para obter mais informações sobre políticas do IAM, consulte Identity and Access Management (IAM) para AWS Private Certificate Authority.

nota

Essa configuração impõe limitações que podem resultar em desafios operacionais. Por exemplo, se a CA raiz for comprometida ou perdida, você deverá criar uma nova CA raiz e distribuí-la a todos os clientes em seu ambiente. Até que esse processo de recuperação esteja concluído, você não poderá emitir novos certificados. A emissão de certificados diretamente de uma CA raiz também impede que você restrinja o acesso e limite o número de certificados emitidos da raiz, que são ambos considerados melhores práticas para gerenciar uma CA raiz.

Forneça sua própria CA raiz Conta da AWS

Criar uma CA raiz e uma CA subordinada em duas AWS contas diferentes é uma prática recomendada. Isso pode fornecer proteção adicional e controles de acesso para sua CA raiz. Você pode fazer isso exportando a CSR da CA subordinada em uma conta e assinando-a com uma CA raiz em outra conta. A vantagem dessa abordagem é que você pode separar o controle de sua conta CAs por conta. A desvantagem é que você não pode usar o AWS Management Console assistente para simplificar o processo de assinatura do certificado CA de uma CA subordinada a partir da CA raiz.

Importante

É altamente recomendável o uso da autenticação multifator (MFA) sempre que você acessar CA privada da AWS.

Perfis separados de administrador e emissor

O perfil de administrador de CA deve ser separado dos usuários que precisam apenas emitir certificados de entidade final. Se o administrador da CA e o emissor do certificado residirem no mesmo local Conta da AWS, você pode limitar as permissões do emissor criando um IAM usuário especificamente para essa finalidade.

Implementar a revogação gerenciada de certificados

A revogação gerenciada notifica automaticamente os clientes de certificados quando um certificado é revogado. Talvez seja necessário revogar um certificado quando suas informações criptográficas foram comprometidas ou quando ele foi emitido por engano. Os clientes normalmente se recusam a aceitar certificados revogados. CA privada da AWS oferece duas opções padrão para revogação gerenciada: Online Certificate Status Protocol (OCSP) e listas de revogação de certificados (). CRLs Para obter mais informações, consulte Planeje seu método AWS Private CA de revogação de certificado.

Ativar AWS CloudTrail

Ative o CloudTrail registro antes de criar e começar a operar uma CA privada. Com CloudTrail, você pode recuperar um histórico de AWS API chamadas de sua conta para monitorar suas AWS implantações. Esse histórico inclui API chamadas feitas dos serviços AWS Management Console, do AWS SDKs AWS Command Line Interface, do e de nível superior AWS . Você também pode identificar quais usuários e contas realizaram as PCA API operações, o endereço IP de origem a partir do qual as chamadas foram feitas e quando elas ocorreram. Você pode se CloudTrail integrar aos aplicativos usando oAPI, automatizar a criação de trilhas para sua organização, verificar o status de suas trilhas e controlar como os administradores ativam e desativam o CloudTrail login. Para obter mais informações, consulte Criação de uma trilha. Acesse Registrando AWS Private Certificate Authority API chamadas usando AWS CloudTrail para ver exemplos de trilhas para CA privada da AWS operações.

Alternar a chave privada da CA

É uma melhor prática usada para atualizar periodicamente a chave privada da sua CA privada. Você pode atualizar uma chave importando um novo certificado CA ou substituir a CA privada por uma nova CA.

nota

Se você substituir a própria CA, esteja ciente ARN de que a CA muda. Isso faria com que a automação baseada em um código rígido ARN falhasse.

Excluir não utilizado CAs

Você pode excluir permanentemente uma CA privada. Talvez você deva fazer isso se não precisar mais da CA ou se desejar substituí-la por uma CA com uma nova chave privada. Para excluir com segurança uma CA, recomendamos que você siga o processo descrito em Excluir sua CA privada.

nota

AWS cobra uma CA até que ela seja excluída.

Bloqueie o acesso público ao seu CRLs

CA privada da AWS recomenda usar o recurso Amazon S3 Block Public Access (BPA) em buckets que contêm. CRLs Isso evita expor desnecessariamente detalhes de sua privacidade PKI a possíveis adversários. BPAé uma prática recomendada do S3 e está habilitada por padrão em novos buckets. Em alguns casos, uma configuração adicional é necessária. Para obter mais informações, consulte Habilite o S3 Block Public Access (BPA) com CloudFront.

Melhores práticas EKS de aplicativos da Amazon

Ao usar CA privada da AWS para provisionar a Amazon EKS com certificados X.509, siga as recomendações para proteger ambientes multilocatários nos Guias de Melhores Práticas da Amazon. EKS Para obter informações gerais sobre a integração do CA privada da AWS com o Kubernetes, consulte Proteja o Kubernetes com CA privada da AWS.