Amazon Web Services (AWS) представила возможность экспорта публичных сертификатов через AWS Certificate Manager (ACM), что позволяет пользователям легко защищать любые рабочие процессы как внутри, так и вне AWS. Эта новая функция дает организациям возможность выпускать публичные сертификаты Transport Layer Security (TLS) и получать доступ к связанным с ними закрытым ключам, обеспечивая безопасное завершение TLS в различных средах, включая экземпляры Amazon EC2, контейнеры и локальные хосты.
Ранее публичные сертификаты, выпущенные ACM, были ограничены интегрированными сервисами AWS, такими как Amazon CloudFront. С новой возможностью экспорта пользователи теперь могут отмечать сертификаты для использования за пределами интегрированных сервисов AWS при запросе. После завершения проверки домена сертификаты могут быть получены в течение нескольких секунд, предоставляя быстрый, безопасный и доступный доступ к публичным сертификатам для AWS, гибридных или мультиоблачных рабочих нагрузок.
Введение экспортируемых публичных сертификатов ACM для любых рабочих нагрузок
Экспортируемые публичные сертификаты из ACM действительны в течение 395 дней и стоят $15 за полное доменное имя и $149 за подстановочное имя. Клиенты получают простую, единовременную цену без необходимости в контрактах на массовую выдачу. Кроме того, администраторы могут мониторить и автоматизировать использование сертификатов через события жизненного цикла CloudWatch ACM.
AWS ставит безопасность на первое место во всех своих сервисах. Чтобы поддерживать высокие стандарты, функция экспорта ограничена только новыми сертификатами; существующие публичные сертификаты остаются неэкспортируемыми. Администраторы могут задавать детализированные разрешения через политики IAM, указывая, какие роли и пользователи имеют право запрашивать экспортируемые сертификаты.
Новая функция теперь доступна во всех регионах AWS, включая AWS GovCloud (US) и регионы Китая.
Основные преимущества экспортируемых публичных сертификатов ACM:
- Централизованное управление: Упростите управление сертификатами во всех средах с помощью ACM.
- Быстрая выдача: Получайте сертификаты быстро после проверки домена.
- Автоматическое обновление: Получайте выгоду от автоматических обновлений с уведомлениями через Amazon EventBridge.
- Экономичная цена: Платите только за созданные сертификаты, без долгосрочных контрактов.
- Гибкое развертывание: Размещайте сертификаты на любом сервере или приложении, поддерживающем стандартные SSL/TLS.
Как это работает:
- Запросите экспортируемый сертификат через ACM для выбранного домена.
- Подтвердите владение доменом через DNS или электронную почту.
- Экспортируйте сертификат, закрытый ключ и цепочку сертификатов.
- Разверните на нужном сервере или приложении.
- Позвольте ACM управлять обновлениями и получайте автоматические уведомления, когда обновленные сертификаты готовы.
Лучшие практики безопасности:
AWS рекомендует клиентам внедрять надежное хранение и контроль доступа к экспортированным закрытым ключам, использовать функции отзыва ACM в случае подозрения на компрометацию и следовать процедурам ротации ключей при развертывании обновленных сертификатов. Функция экспортируемых сертификатов доступна во всех поддерживаемых регионах AWS. Дополнительные сборы применяются к экспортируемым публичным SSL/TLS-сертификатам.
Очень рад, что AWS наконец-то добавила эту функцию! Это значительно упростит управление сертификатами для мультиоблачных решений. Интересно, насколько сложно будет настроить автоматические обновления и какие подводные камни могут возникнуть при этом.
Отлично, что теперь можно использовать сертификаты не только в AWS! Это открывает больше возможностей для гибридных сред. Надеюсь, что цена останется доступной и не изменится в ближайшее время. Спасибо за подробное объяснение, как это работает.