AWS Certificate Manager – это сервис, позволяющий легко предоставлять и развертывать публичные и частные сертификаты Secure Sockets Layer/Transport Layer Security (SSL/TLS) для использования вместе с сервисами AWS или внутренними подключенными ресурсами, а также помогающий управлять этими сертификатами. Сертификаты SSL/TLS используются для защиты сетевых подключений и установления подлинности веб-сайтов в Интернете, а также ресурсов в частных сетях. AWS Certificate Manager позволяет не тратить время на приобретение, загрузку и обновление сертификатов SSL/TLS вручную. Благодаря AWS Certificate Manager можно быстро запросить сертификат и выполнить его развертывание с помощью таких интегрированных с ACM ресурсов AWS, как балансировщики нагрузки сервиса Elastic Load Balancing, базы раздачи Amazon CloudFront или API в Amazon API Gateway. После этого можно поручить сервису AWS Certificate Manager обновление сертификатов. Данный сервис позволяет также создавать частные сертификаты для внутренних ресурсов и централизованно управлять жизненным циклом сертификатов. Публичные и частные сертификаты, создаваемые с помощью AWS Certificate Manager для использования с интегрированными сервисами, являются бесплатными. Оплате подлежат только ресурсы AWS, которые используются для запуска приложений. При использовании частных сертификатов вы ежемесячно оплачиваете работу Private CA и выпущенные с его помощью частные сертификаты.
Начало работы с AWS Certificate Manager
Создать бесплатный аккаунт
Протокол SSL и его преемник, TLS, являются стандартными протоколами для шифрования сетевых соединений и установления подлинности веб-сайтов в Интернете. Протокол SSL/TLS обеспечивает шифрование конфиденциальных данных при передаче, а также аутентификацию с помощью сертификатов SSL/TLS для установления подлинности сайта и безопасных соединений между браузерами, приложениями и вашим сайтом. AWS Certificate Manager обеспечивает простой способ предоставления этих сертификатов и управления ими, что позволяет настроить веб-сайт или приложение для работы по протоколу SSL/TLS.
Частные сертификаты используются для идентификации и защиты соединений между подключенными ресурсами (например, серверами, мобильными устройствами, устройствами IoT, приложениями) в частных сетях. Private Certificate Authority (CA) сервиса AWS Certificate Manager (ACM) – это управляемый сервис частного центра сертификации, позволяющий просто и надежно управлять жизненным циклом частных сертификатов. ACM Private CA обеспечивает сервис частного центра сертификации с высокой доступностью без предварительных инвестиций и текущих расходов на обслуживание, неизбежных при эксплуатации собственного частного центра сертификации. ACM Private CA расширяет возможности управления сертификатами ACM для охвата частных сертификатов и позволяет централизованно создавать публичные и частные сертификаты, а также управлять ими. ACM Private CA обеспечивает разработчикам дополнительную гибкость, позволяя создавать и развертывать частные сертификаты программными средствами с помощью API. Дополнительно предоставляется возможность создавать частные сертификаты для приложений, требующих специальных настроек жизненного цикла сертификата или имен ресурсов. Подробнее о ACM Private Certificate Authority.
AWS Certificate Manager позволяет избавиться от трудоемких операций по получению сертификатов SSL/TLS для своего сайта или приложения и устраняет возможность ошибок в ходе этого процесса. Больше не требуется генерировать пару ключей или запрос на подпись сертификата (CSR), отправлять CSR в центр сертификации, после чего загружать и устанавливать полученный сертификат. Чтобы запросить доверенные сертификаты SSL/TLS в AWS, достаточно нескольких щелчков мышью в Консоли управления AWS. Как только сертификат создан, AWS Certificate Manager берет на себя развертывание сертификатов и помогает начать использование протокола SSL/TLS для сайта или приложения.
Благодаря AWS Certificate Manager дополнительная плата за предоставление публичных или частных сертификатов SSL/TLS для использования с интегрированными с ACM сервисами, например с Elastic Load Balancing или API Gateway, не взимается. Оплате подлежат ресурсы AWS, которые используются для запуска приложений. Что касается частных сертификатов, ACM Private CA предоставляет возможность оплачивать работу сервиса и созданные сертификаты на ежемесячной основе. По мере увеличения количества выпускаемых частных сертификатов стоимость одного сертификата снижается.
AWS Certificate Manager управляет процессом обновления сертификатов, которые находятся под управлением ACM и используются для интегрированных с ACM сервисов, таких как Elastic Load Balancing и API Gateway. ACM может автоматизировать обновление и развертывание этих сертификатов. ACM позволяет автоматизировать создание и обновление частных сертификатов для локальных ресурсов, инстансов EC2 и устройств IoT с помощью API ACM Private CA.
AWS Certificate Manager разработан для защиты закрытых ключей, которые используются вместе с сертификатами SSL/TLS, и управления этими ключами. При хранении и защите закрытых ключей используются криптостойкие алгоритмы шифрования и рекомендации по управлению ключами.
Вы наверняка оцените удобство централизованного управления сертификатами SSL/TLS, предоставляемыми AWS Certificate Manager в соответствующем регионе AWS, с помощью Консоли управления AWS, интерфейса командной строки AWS или API сервиса AWS Certificate Manager. Кроме того, вы сможете отслеживать использование каждого сертификата с помощью журналов Amazon CloudTrail.
AWS Certificate Manager интегрирован с другими сервисами AWS, что позволяет предоставлять сертификат SSL/TLS и выполнять его развертывание с помощью сервиса Elastic Load Balancing, базы раздачи Amazon CloudFront или API в Amazon API Gateway. AWS Certificate Manager также работает с AWS Elastic Beanstalk и AWS CloudFormation для создания публичных сертификатов, проверенных с помощью электронной почты. Сервис помогает управлять такими публичными сертификатами и использовать их для приложений в облаке AWS. Для развертывания сертификата с помощью ресурса AWS нужно просто выбрать соответствующий сертификат из раскрывающегося списка в Консоли управления AWS. Кроме того, связать сертификат с ресурсом можно с помощью вызова API AWS или интерфейса командной строки AWS. Получив команду, AWS Certificate Manager выполнит развертывание сертификата на выбранном ресурсе.
AWS Certificate Manager позволяет легко импортировать сертификаты SSL/TLS, выданные сторонними органами сертификации (CA), и развертывать их с помощью балансировщиков нагрузки сервиса Elastic Load Balancing, баз раздачи Amazon CloudFront или API в Amazon API Gateway. Вы можете контролировать дату окончания срока действия импортированного сертификата и при ее приближении импортировать обновление. Вы можете также запросить бесплатный сертификат с помощью AWS Certificate Manager и позволить AWS выполнять обновления сертификатов в дальнейшем. Импорт сертификатов выполняется без дополнительной оплаты.
Упрощая использование SSL/TLS, AWS Certificate Manager помогает организациям обеспечить соответствие нормативным требованиям и другим стандартам в отношении шифрования данных при передаче. Подробную информацию о соответствии требованиям см. в разделе Соответствие облака AWS нормативным требованиям.
AWS Certificate Manager помогает справиться с проблемами обслуживания сертификатов SSL/TLS, в том числе с обновлением сертификатов. Вам не придется беспокоиться о просроченных сертификатах.
