适用于 Amazon Private CA 的 Security Hub 控件 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Amazon Private CA 的 Security Hub 控件

这些 Amazon Security Hub 控件可评估 Amazon Private Certificate Authority(Amazon Private CA)服务和资源。

这些控件可能并未在所有的 Amazon Web Services 区域 上提供。有关更多信息,请参阅 按地区划分的控件可用性

[PCA.1] 应禁用 Amazon Private CA 根证书颁发机构

相关要求:NIST.800-53.r5 CA-9(1),NIST.800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::ACMPCA::CertificateAuthority

Amazon Config 规则:acm-pca-root-ca-disabled

计划类型:定期

参数:

此控件检查 Amazon Private CA 是否有已禁用的根证书颁发机构(CA)。如果启用了根 CA,则控制失败。

通过 Amazon Private CA,您可以创建包含根 CA 和从属 CA 的 CA 层次结构。您应该尽量减少在日常任务中使用根 CA,尤其是在生产环境中。根 CA 应仅用于为中间 CA 颁发证书。这样,在中间 CA 执行颁发终端实体证书的日常任务时,根 CA 可以不受损害地存储。

修复

要禁用根 CA,请参阅《Amazon Private Certificate Authority 用户指南》中的更新 CA 状态