Открыть сервис

AWS Certificate Manager

AWS Certificate Manager — это облачный сервис управления сертификатами, предоставляемый компанией Amazon Web Services (AWS), который позволяет упростить процесс получения, развёртывания и обновления сертификатов Transport Layer Security (TLS) / Secure Sockets Layer (SSL). Сервис предназначен для обеспечения шифрования трафика между клиентами и ресурсами AWS, такими как распределители нагрузки (Elastic Load Balancing), сервисы доставки контента (Amazon CloudFront) и API-шлюзы (Amazon API Gateway).

История и развитие

AWS Certificate Manager был анонсирован в 2015 году и запущен в 2016 году. Основной целью создания сервиса было устранение сложностей, связанных с ручным управлением жизненным циклом сертификатов TLS/SSL: покупкой, установкой, настройкой продления и заменой истёкших сертификатов. Первоначально ACM поддерживал только сертификаты, выданные публичным удостоверяющим центром (CA) Amazon Trust Services, и был доступен для использования с Elastic Load Balancing и Amazon CloudFront. В последующие годы функциональность была расширена: появилась поддержка частных удостоверяющих центров (Private CA), интеграция с Amazon API Gateway, AWS Elastic Beanstalk, AWS CloudFormation и другими сервисами. К 2020-м годам ACM стал стандартным инструментом для управления TLS/SSL-сертификатами в экосистеме AWS.

Основные функции и возможности

Выдача и управление публичными сертификатами

ACM автоматизирует процесс получения сертификатов от встроенного публичного удостоверяющего центра. Пользователю достаточно указать доменное имя (или несколько имён с использованием подстановочных символов *), и сервис самостоятельно проверяет право владения доменом (через DNS или email), выпускает сертификат и развёртывает его на совместимых ресурсах AWS. Сертификаты, выданные ACM, имеют срок действия 13 месяцев (395 дней) и автоматически продлеваются сервисом без участия пользователя, если домен по-прежнему принадлежит владельцу и DNS-записи не изменены. Это позволяет минимизировать риск простоев из-за истекших сертификатов.

Приватный удостоверяющий центр (Private CA)

Для организаций, которым требуется шифрование внутреннего трафика (например, между микросервисами в виртуальной частной сети VPC), ACM предоставляет возможность создания и управления частным удостоверяющим центром. Private CA позволяет выпускать сертификаты для внутренних доменов, которые не регистрируются в публичных DNS. Управление иерархией CA, отзыв сертификатов и настройка политик выпуска осуществляются через консоль AWS, API или инструменты инфраструктуры как кода (Terraform, AWS CloudFormation).

Интеграция с сервисами AWS

Основное преимущество ACM — глубокая интеграция с другими сервисами AWS. Сертификаты, выпущенные или импортированные в ACM, могут быть автоматически привязаны к следующим ресурсам:

Импорт сертификатов сторонних CA

ACM поддерживает импорт сертификатов, выданных любыми сторонними удостоверяющими центрами (например, Let’s Encrypt, DigiCert, GlobalSign), а также соответствующих закрытых ключей и цепочек сертификатов. После импорта такие сертификаты можно использовать с теми же сервисами AWS, что и сертификаты, выпущенные ACM. Однако автоматическое продление для импортированных сертификатов не предоставляется — пользователь должен самостоятельно обновлять их до истечения срока действия.

Классификация сертификатов

Сертификаты в ACM делятся на два основных типа:

По способу управления сертификаты делятся на:

Процесс получения сертификата

  1. Запрос сертификата — пользователь указывает доменные имена (FQDN) и выбирает метод проверки владения доменом: DNS (добавление записи CNAME в зону DNS) или email (подтверждение через письмо на административные адреса домена).
  2. Проверка домена — ACM ожидает, пока DNS-запись или email-подтверждение не будут обработаны. Время проверки обычно составляет от нескольких минут до нескольких часов.
  3. Выпуск сертификата — после успешной проверки ACM генерирует сертификат и связку ключей, после чего сертификат становится доступным для развёртывания.
  4. Развёртывание — пользователь выбирает целевой ресурс (например, Application Load Balancer) и привязывает сертификат к соответствующему прослушивателю (listener). ACM автоматически обновляет конфигурацию ресурса.

Ограничения и критика

Безопасность и соответствие стандартам

ACM использует криптографические алгоритмы RSA-2048 и ECDSA P-256/P-384 для генерации ключей. Сертификаты соответствуют стандарту X.509 v3. Сервис интегрирован с AWS Identity and Access Management (IAM), что позволяет гибко настраивать права доступа к операциям с сертификатами. Журналы аудита доступны через AWS CloudTrail. Для соответствия отраслевым стандартам (PCI DSS, HIPAA, SOC) ACM поддерживает шифрование в покое и при передаче, а также предоставляет возможность использовать AWS Key Management Service (KMS) для управления ключами Private CA.

Стоимость

Публичные сертификаты, выпущенные ACM, предоставляются бесплатно. Плата взимается только за использование ресурсов, к которым привязан сертификат (например, за часы работы Application Load Balancer). Для Private CA существует плата за каждый активный CA (ежемесячно) и за каждый выпущенный сертификат. Импорт сертификатов сторонних CA не тарифицируется отдельно, но стоимость самого сертификата определяется внешним удостоверяющим центром.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →