Publié le: Aug 23, 2023
Les administrateurs d'entreprise, de réseau et de sécurité peuvent désormais utiliser les clés contextuelles conditionnelles d'AWS Identity and Access Management (IAM) avec AWS Certificate Manager (ACM) pour garantir que les utilisateurs émettent des certificats conformes aux directives de leur organisation concernant l'infrastructure à clé publique (PKI). Par exemple, utilisez des clés conditionnelles pour autoriser uniquement la validation DNS. Vous avez également la possibilité d'indiquer quels utilisateurs ont le droit de demander des certificats pour des noms de domaine spécifiques (du type comptabilite.exemple.com) ou des noms génériques.
Ces nouvelles clés contextuelles permettent de définir la manière dont les utilisateurs d'ACM personnalisent les paramètres d'émission des certificats en autorisant 1) une méthode de validation de certificat spécifique, 2) les demandes de certificats pour des noms de domaine en particulier (y compris des noms génériques) selon les utilisateurs, 3) des algorithmes de clé de certificat spécifiques et 4) la demande de type de certificat public ou privé. En outre, vous pouvez empêcher les utilisateurs de désactiver la journalisation de la transparence des certificats (CT) ou de demander des certificats auprès d'autorités de certification privées AWS spécifiques.
Il est possible de distribuer et d'appliquer les clés conditionnelles à l'ensemble des utilisateurs et comptes à l'aide d'IAM ou des politiques de contrôle des services (SCP) d'AWS Organizations. Vous pouvez appliquer des politiques à l'échelle de votre organisation ou définir des politiques propres aux différentes unités organisationnelles. Par exemple, autorisez votre service des ressources humaines à délivrer des certificats pour le nom de domaine RH.exemple.com, et votre service informatique pour informatique.exemple.com uniquement. Ces politiques peuvent également être mises en œuvre lors de la création du compte avec AWS CloudFormation.
Pour en savoir plus sur cette fonctionnalité, cliquez ici, puis commencez à utiliser ACM. Cette fonctionnalité est désormais disponible dans toutes les régions AWS où ACM est proposé, y compris les régions AWS GovCloud (US).