Amazon Private Certificate Authority(Amazon Private CA)是一种高度可用的托管私有证书颁发机构(CA)服务。使用 Amazon Private CA,您可以创建私有证书来识别资源和保护数据。您可以创建通用证书和 CA 配置来识别和保护您的资源,包括服务器、应用程序、用户、设备和容器。 Amazon Private CA 让您能打下坚实的基础,可用来保护数据、识别资源并帮助满足您的监管和合规需求。借助 Amazon Private CA,可以通过使用 API 调用、Amazon CLI 命令或 Amazon CloudFormation 模板自动执行 CA 和证书管理,帮助您避免中断并延长正常运行时间。
该服务的 API 允许开发人员自定义和部署私有证书,管理员可以使用 Amazon Private CA 创建完全基于云的 CA 层次结构或结合云和本地 CA 的混合层次结构。Amazon Private CA 是一项灵活的加密服务,除了受硬件保护的私钥外,还具有不同的密钥算法和密钥大小。
主要产品功能
安全的根 CA 和 CA 层次结构管理
Amazon Private CA 层次结构为信任链顶部最值得信赖的根 CA 提供强大的安全性和限制性访问控制,同时为信任链下层的下级 CA 提供更宽松的访问权限和批量证书颁发。您可以使用 Amazon IAM 策略控制谁可以创建新 CA 或限制对现有 CA 的访问权限。您的 CA 层次结构的私钥受政府批准的硬件安全模块(HSM)保护。
模式
Amazon Private CA 为您的所有用例提供具有不同功能和定价的模式。 Amazon Private CA 的所有模式都让没有私钥基础设施(PKI)背景的管理员、构建者和开发人员可以轻松快捷地设置和管理私有 CA。
- 证书的短期证书模式,有效期长达 7 天
- 适用于任何有效期的证书的通用模式
有关模式定价的信息,请访问 Amazon Private CA 定价页面。
连接器
通过连接器,您可以在已建立原生证书分发解决方案的环境中将现有 CA 替换为 Amazon Private CA。Amazon Private CA 提供了适用于 Kubernetes 的连接器,您可以使用该连接器为 Kubernetes 集群批量颁发证书。与 Kubernetes 集成,可以更轻松地自动化执行和配置 Amazon Elastic Kubernetes Service(EKS)的端到端加密。您可以从 GitHub 存储库下载适用于 Kubernetes 的连接器。
CA 密钥由 HSM 支持的安全密钥存储
CA 用于签署证书的密钥具有高度敏感性。Amazon Private CA 使用 Amazon 管理的硬件安全模块(HSM)保护这些密钥。该服务使用政府批准的 HSM 来保护 CA 密钥的机密性和完整性。
IAM 集成
您可以使用 IAM 政策控制对 Amazon Private CA 的访问权限。例如,您可以创建策略,向负责 CA 管理的 IT 管理员授予创建和配置私有 CA 的完全访问权限,同时向只需要颁发和吊销证书的开发人员和用户授予有限的访问权限。
使用 CRL 和 OCSP 吊销证书
建立加密 TLS 连接时,吊销基础设施会提醒端点不应信任该证书。Amazon Private CA 客户可以选择证书吊销列表(CRL)来分发私有证书的吊销信息。
跨账户 CA 共享
在您的组织或 Amazon Web Services 账户之间共享 CA,可以避免在您的 Amazon Web Services 账户中创建和管理多个 CA 的成本和复杂性。您可以通过 Amazon Resource Access Manager(RAM)创建资源共享,其中包括您的私有 CA,并与一组账户或 Amazon Organizations 关联。 此功能允许包含的账户颁发来自共享 CA 的私有证书。然后,您可以使用 Amazon Certificate Manager(ACM)从共享 CA 颁发私有证书,证书在请求账户中本地生成,ACM 为使用通用模式创建的证书提供完整的生命周期管理和续订。ACM 无法颁发短期证书。
完全可定制的证书
Amazon Private CA 让您能完全自定义私有证书,以满足贵组织身份或数据保护安全要求的特定需求。通过使用可自定义的名称,您可以支持计算机、Web 服务、容器、用户、物联网设备等的身份。本机支持标准证书扩展,您可以使用 Private CA 的自定义扩展功能来创建带有非标准扩展的证书。
基于 API 的自动化
使用 Amazon Private CA 以您选择的编程语言编写代码,以自动执行证书管理。Amazon SDK 进一步简化身份验证,并能有效地与您的开发环境集成。您还可以使用命令行工具编写脚本或一次性命令来与服务进行交互。
审计和记录
Amazon Private CA 可让您和您的审计师了解您私有 CA 的活动。您可以创建包括 CA 颁发的所有证书状态的审计报告。Amazon Lambda 与 Amazon CloudTrail 集成。CloudTrail 捕获来自 Amazon Private CA 控制台、Amazon 命令行界面(CLI)或您的代码的 API 调用,并将日志文件传输到您的 Amazon Simple Storage Service(S3)存储桶。使用 CloudTrail 收集的信息,您可以确定发出的请求、发出请求的 IP 地址、发出请求的时间等。