AWS Certificate Manager
AWS Certificate Manager — это облачный сервис управления сертификатами, предоставляемый компанией Amazon Web Services (AWS), который позволяет упростить процесс получения, развёртывания и обновления сертификатов Transport Layer Security (TLS) / Secure Sockets Layer (SSL). Сервис предназначен для обеспечения шифрования трафика между клиентами и ресурсами AWS, такими как распределители нагрузки (Elastic Load Balancing), сервисы доставки контента (Amazon CloudFront) и API-шлюзы (Amazon API Gateway).
История и развитие
AWS Certificate Manager был анонсирован в 2015 году и запущен в 2016 году. Основной целью создания сервиса было устранение сложностей, связанных с ручным управлением жизненным циклом сертификатов TLS/SSL: покупкой, установкой, настройкой продления и заменой истёкших сертификатов. Первоначально ACM поддерживал только сертификаты, выданные публичным удостоверяющим центром (CA) Amazon Trust Services, и был доступен для использования с Elastic Load Balancing и Amazon CloudFront. В последующие годы функциональность была расширена: появилась поддержка частных удостоверяющих центров (Private CA), интеграция с Amazon API Gateway, AWS Elastic Beanstalk, AWS CloudFormation и другими сервисами. К 2020-м годам ACM стал стандартным инструментом для управления TLS/SSL-сертификатами в экосистеме AWS.
Основные функции и возможности
Выдача и управление публичными сертификатами
ACM автоматизирует процесс получения сертификатов от встроенного публичного удостоверяющего центра. Пользователю достаточно указать доменное имя (или несколько имён с использованием подстановочных символов *), и сервис самостоятельно проверяет право владения доменом (через DNS или email), выпускает сертификат и развёртывает его на совместимых ресурсах AWS. Сертификаты, выданные ACM, имеют срок действия 13 месяцев (395 дней) и автоматически продлеваются сервисом без участия пользователя, если домен по-прежнему принадлежит владельцу и DNS-записи не изменены. Это позволяет минимизировать риск простоев из-за истекших сертификатов.
Приватный удостоверяющий центр (Private CA)
Для организаций, которым требуется шифрование внутреннего трафика (например, между микросервисами в виртуальной частной сети VPC), ACM предоставляет возможность создания и управления частным удостоверяющим центром. Private CA позволяет выпускать сертификаты для внутренних доменов, которые не регистрируются в публичных DNS. Управление иерархией CA, отзыв сертификатов и настройка политик выпуска осуществляются через консоль AWS, API или инструменты инфраструктуры как кода (Terraform, AWS CloudFormation).
Интеграция с сервисами AWS
Основное преимущество ACM — глубокая интеграция с другими сервисами AWS. Сертификаты, выпущенные или импортированные в ACM, могут быть автоматически привязаны к следующим ресурсам:
- Elastic Load Balancing (Application Load Balancer, Network Load Balancer, Classic Load Balancer) — для обеспечения HTTPS-соединений.
- Amazon CloudFront — для шифрования трафика между пользователями и точками присутствия CDN.
- Amazon API Gateway — для защиты REST и WebSocket API.
- AWS Elastic Beanstalk — для автоматического развёртывания сертификатов на средах приложений.
- AWS CloudFormation — для декларативного управления сертификатами в шаблонах.
- AWS Nitro Enclaves — для аттестации доверенных сред выполнения.
Импорт сертификатов сторонних CA
ACM поддерживает импорт сертификатов, выданных любыми сторонними удостоверяющими центрами (например, Let’s Encrypt, DigiCert, GlobalSign), а также соответствующих закрытых ключей и цепочек сертификатов. После импорта такие сертификаты можно использовать с теми же сервисами AWS, что и сертификаты, выпущенные ACM. Однако автоматическое продление для импортированных сертификатов не предоставляется — пользователь должен самостоятельно обновлять их до истечения срока действия.
Классификация сертификатов
Сертификаты в ACM делятся на два основных типа:
- Публичные сертификаты — выпускаются публичным CA Amazon Trust Services, действительны для доменов, зарегистрированных в публичной DNS. Используются для внешних веб-сайтов и API.
- Приватные сертификаты — выпускаются частным CA, созданным пользователем. Предназначены для внутренних сетей, межсервисной аутентификации и шифрования внутри VPC.
По способу управления сертификаты делятся на:
- Управляемые ACM — выпущенные и автоматически продлеваемые сервисом (включая сертификаты Private CA).
- Импортированные — сертификаты, созданные вне ACM и загруженные в сервис; автоматическое продление не поддерживается.
Процесс получения сертификата
- Запрос сертификата — пользователь указывает доменные имена (FQDN) и выбирает метод проверки владения доменом: DNS (добавление записи CNAME в зону DNS) или email (подтверждение через письмо на административные адреса домена).
- Проверка домена — ACM ожидает, пока DNS-запись или email-подтверждение не будут обработаны. Время проверки обычно составляет от нескольких минут до нескольких часов.
- Выпуск сертификата — после успешной проверки ACM генерирует сертификат и связку ключей, после чего сертификат становится доступным для развёртывания.
- Развёртывание — пользователь выбирает целевой ресурс (например, Application Load Balancer) и привязывает сертификат к соответствующему прослушивателю (listener). ACM автоматически обновляет конфигурацию ресурса.
Ограничения и критика
- Географические ограничения — ACM является региональным сервисом. Сертификаты, созданные в одном регионе AWS, не могут быть развёрнуты в другом регионе (за исключением Amazon CloudFront, который использует глобальный сертификат из региона us-east-1).
- Отсутствие экспорта закрытых ключей — для сертификатов, управляемых ACM, закрытые ключи недоступны для скачивания. Это сделано для повышения безопасности, но ограничивает использование сертификатов за пределами экосистемы AWS (например, на собственных серверах).
- Зависимость от AWS — полная интеграция с ACM возможна только при использовании сервисов AWS. Для гибридных сред или мультиоблачных решений требуется импорт сертификатов или использование сторонних решений.
- Сложности с Private CA — создание и поддержка частного CA требуют понимания криптографии и управления сертификатами; неправильная настройка может привести к уязвимостям или отказам в аутентификации.
Безопасность и соответствие стандартам
ACM использует криптографические алгоритмы RSA-2048 и ECDSA P-256/P-384 для генерации ключей. Сертификаты соответствуют стандарту X.509 v3. Сервис интегрирован с AWS Identity and Access Management (IAM), что позволяет гибко настраивать права доступа к операциям с сертификатами. Журналы аудита доступны через AWS CloudTrail. Для соответствия отраслевым стандартам (PCI DSS, HIPAA, SOC) ACM поддерживает шифрование в покое и при передаче, а также предоставляет возможность использовать AWS Key Management Service (KMS) для управления ключами Private CA.
Стоимость
Публичные сертификаты, выпущенные ACM, предоставляются бесплатно. Плата взимается только за использование ресурсов, к которым привязан сертификат (например, за часы работы Application Load Balancer). Для Private CA существует плата за каждый активный CA (ежемесячно) и за каждый выпущенный сертификат. Импорт сертификатов сторонних CA не тарифицируется отдельно, но стоимость самого сертификата определяется внешним удостоверяющим центром.
Источники
- Документация AWS Certificate Manager (Amazon Web Services)
- «AWS Certified Solutions Architect Official Study Guide» (Sybex, 2019)
- «AWS Security Best Practices» (AWS Whitepaper, 2022)
- «Automating TLS Certificate Management with AWS Certificate Manager» (AWS Blog, 2016)
- «AWS Certificate Manager Private CA: Best Practices» (AWS Whitepaper, 2020)
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →