Amazon Private CA 功能

Amazon Private CA 层次结构为信任链顶部最值得信赖的根 CA 提供强大的安全性和限制性访问控制，同时为信任链下层的下级 CA 提供更宽松的访问权限和批量证书颁发。您可以使用 Amazon IAM 策略控制谁可以创建新 CA 或限制对现有 CA 的访问权限。您的 CA 层次结构的私钥受政府批准的硬件安全模块（HSM）保护。

Amazon Private CA 为您的所有用例提供具有不同功能和定价的模式。 Amazon Private CA 的所有模式都让没有私钥基础设施（PKI）背景的管理员、构建者和开发人员可以轻松快捷地设置和管理私有 CA。

• 证书的短期证书模式，有效期长达 7 天
• 适用于任何有效期的证书的通用模式

有关模式定价的信息，请访问 Amazon Private CA 定价页面。

通过连接器，您可以在已建立原生证书分发解决方案的环境中将现有 CA 替换为 Amazon Private CA。Amazon Private CA 提供了适用于 Kubernetes 的连接器，您可以使用该连接器为 Kubernetes 集群批量颁发证书。与 Kubernetes 集成，可以更轻松地自动化执行和配置 Amazon Elastic Kubernetes Service（EKS）的端到端加密。您可以从 GitHub 存储库下载适用于 Kubernetes 的连接器。

CA 用于签署证书的密钥具有高度敏感性。Amazon Private CA 使用 Amazon 管理的硬件安全模块（HSM）保护这些密钥。该服务使用政府批准的 HSM 来保护 CA 密钥的机密性和完整性。

您可以使用 IAM 政策控制对 Amazon Private CA 的访问权限。例如，您可以创建策略，向负责 CA 管理的 IT 管理员授予创建和配置私有 CA 的完全访问权限，同时向只需要颁发和吊销证书的开发人员和用户授予有限的访问权限。

建立加密 TLS 连接时，吊销基础设施会提醒端点不应信任该证书。Amazon Private CA 客户可以选择证书吊销列表（CRL）来分发私有证书的吊销信息。

在您的组织或 Amazon Web Services 账户之间共享 CA，可以避免在您的 Amazon Web Services 账户中创建和管理多个 CA 的成本和复杂性。您可以通过 Amazon Resource Access Manager（RAM）创建资源共享，其中包括您的私有 CA，并与一组账户或 Amazon Organizations 关联。 此功能允许包含的账户颁发来自共享 CA 的私有证书。然后，您可以使用 Amazon Certificate Manager（ACM）从共享 CA 颁发私有证书，证书在请求账户中本地生成，ACM 为使用通用模式创建的证书提供完整的生命周期管理和续订。ACM 无法颁发短期证书。

Amazon Private CA 让您能完全自定义私有证书，以满足贵组织身份或数据保护安全要求的特定需求。通过使用可自定义的名称，您可以支持计算机、Web 服务、容器、用户、物联网设备等的身份。本机支持标准证书扩展，您可以使用 Private CA 的自定义扩展功能来创建带有非标准扩展的证书。

使用 Amazon Private CA 以您选择的编程语言编写代码，以自动执行证书管理。Amazon SDK 进一步简化身份验证，并能有效地与您的开发环境集成。您还可以使用命令行工具编写脚本或一次性命令来与服务进行交互。

Amazon Private CA 可让您和您的审计师了解您私有 CA 的活动。您可以创建包括 CA 颁发的所有证书状态的审计报告。Amazon Lambda 与 Amazon CloudTrail 集成。CloudTrail 捕获来自 Amazon Private CA 控制台、Amazon 命令行界面（CLI）或您的代码的 API 调用，并将日志文件传输到您的 Amazon Simple Storage Service（S3）存储桶。使用 CloudTrail 收集的信息，您可以确定发出的请求、发出请求的 IP 地址、发出请求的时间等。