AWS Certificate Manager - Guide de l`utilisateur
Transcription
AWS Certificate Manager - Guide de l`utilisateur
AWS Certificate Manager Guide de l'utilisateur Version 1.0 AWS Certificate Manager Guide de l'utilisateur AWS Certificate Manager Guide de l'utilisateur AWS Certificate Manager: Guide de l'utilisateur Copyright © 2017 Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by Amazon. AWS Certificate Manager Guide de l'utilisateur Table of Contents Qu'est-ce qu'AWS Certificate Manager ? .......................................................................................... 1 Concepts ............................................................................................................................. 2 Caractéristiques d'un certificat ACM ......................................................................................... 3 Renouvellement géré ............................................................................................................. 5 Régions prises en charge ...................................................................................................... 5 Services pris en charge ......................................................................................................... 6 Restrictions .......................................................................................................................... 6 Nombre de noms de domaine par certificat ACM ............................................................... 7 Tarification ........................................................................................................................... 7 Configuration ................................................................................................................................ 8 Configuration d'AWS et d'IAM ................................................................................................. 8 Inscription à AWS ......................................................................................................... 8 Créer un utilisateur IAM ................................................................................................. 9 Enregistrement d'un nom de domaine ...................................................................................... 9 Configuration d'une adresse e-mail .......................................................................................... 9 Configuration de votre site Web ou de votre application ............................................................ 10 Guide de démarrage rapide Linux .................................................................................. 11 Guide de démarrage rapide Windows ............................................................................. 11 Mise en route ............................................................................................................................. 12 Demande et gestion de certificats .......................................................................................... 12 Demande de certificat .................................................................................................. 12 Validation de la propriété du domaine ............................................................................ 13 Gestion des certificats ACM .......................................................................................... 18 Elastic Load Balancing ......................................................................................................... 21 Amazon CloudFront ............................................................................................................. 23 Importation de certificats .............................................................................................................. 25 Conditions préalables à l'importation de certificats .................................................................... 26 Importation de certificats (AWS Management Console) ............................................................. 26 Importation de certificats (API ACM) ...................................................................................... 26 Dépannage ......................................................................................................................... 27 Balisage des certificats ACM ........................................................................................................ 29 Restrictions liées aux balises ................................................................................................ 29 Gestion des balises ............................................................................................................. 30 Gestion des balises (console) ....................................................................................... 30 Gestion des balises (AWS Command Line Interface) ........................................................ 31 Gestion des balises (API AWS Certificate Manager) ......................................................... 31 Autorisations et stratégies ............................................................................................................ 32 Stratégies gérées ................................................................................................................ 32 AWSCertificateManagerReadOnly .................................................................................. 32 AWSCertificateManagerFullAccess ................................................................................. 33 Liaison d'une stratégie gérée à l'aide d'AWS Management Console ..................................... 33 Stratégies en ligne .............................................................................................................. 33 Liste des certificats ...................................................................................................... 34 Récupération d'un certificat ........................................................................................... 34 Suppression d'un certificat ............................................................................................ 34 Accès en lecture seule à ACM ...................................................................................... 35 Accès complet à ACM ................................................................................................. 35 Accès administrateur à toutes les ressources AWS .......................................................... 36 Stratégies des ressources intégrées ....................................................................................... 36 Exemples de stratégies IAM pour Elastic Load Balancing .................................................. 36 Exemples de stratégies IAM pour Amazon CloudFront ...................................................... 36 Utilisation de AWS CloudTrail ....................................................................................................... 37 Journalisation des appels d'API ACM ..................................................................................... 37 Ajout de balises .......................................................................................................... 39 Suppression d'un certificat ............................................................................................ 39 Version 1.0 iv AWS Certificate Manager Guide de l'utilisateur Description d'un certificat .............................................................................................. Récupération d'un certificat ........................................................................................... Importation d'un certificat .............................................................................................. Liste des certificats ...................................................................................................... Etablissement d'une liste de balises ............................................................................... Suppression de balises ................................................................................................ Demande de certificat .................................................................................................. Renvoi d'un e-mail de validation .................................................................................... Journalisation des appels d'API liés à ACM ............................................................................. Création d'un équilibreur de charge ................................................................................ Enregistrement d'Amazon EC2 ...................................................................................... Déchiffrement d'une clé privée ...................................................................................... Déchiffrement d'une clé privée ...................................................................................... Utilisation de l'API ACM ............................................................................................................... DeleteCertificate .................................................................................................................. DescribeCertificate ............................................................................................................... GetCertificate ...................................................................................................................... Liste des certificats ACM ...................................................................................................... RequestCertificate ............................................................................................................... ResendValidationEmail ......................................................................................................... Sécurité de la clé privée ACM ....................................................................................................... Dépannage ................................................................................................................................. Pas de réception d'e-mail de validation ................................................................................... E-mail envoyé au sous-domaine ............................................................................................ Délai d'attente de la demande de certificat dépassé ................................................................. Échec de la demande de certificat ......................................................................................... Aucun contact disponible .............................................................................................. Domaine non autorisé .................................................................................................. Vérification supplémentaire nécessaire ........................................................................... Domaine public non valide ............................................................................................ Autre ......................................................................................................................... Validation non terminée ........................................................................................................ Historique du document ............................................................................................................... Version 1.0 v 40 41 42 43 44 45 45 46 47 47 48 49 50 52 52 53 55 56 57 58 60 61 61 62 62 63 63 63 64 64 64 64 66 AWS Certificate Manager Guide de l'utilisateur Qu'est-ce qu'AWS Certificate Manager ? AWS Certificate Manager (ACM) gère la complexité de la mise en service, du déploiement et de la gestion des certificats SSL/TLS pour vos sites Web et applications basés sur AWS. Vous pouvez utiliser les certificats fournis par ACM (p. 12) (certificats ACM) ou ceux que vous importez dans ACM (p. 25). Vous utilisez ACM pour demander, importer et gérer le certificat, puis d'autres services AWS pour associer le certificat à votre site Web ou votre application. Comme le montre l'illustration suivante, vous pouvez utiliser des certificats stockés dans ACM avec Elastic Load Balancing et Amazon CloudFront. Vous ne pouvez pas utiliser de certificats émis par Amazon hors d'AWS. Pour plus d'informations sur les services intégrés à ACM, consultez les rubriques suivantes : • Démarrer avec Elastic Load Balancing (p. 21) • Mise en route de Amazon CloudFront (p. 23) Pour consulter des informations générales sur ACM, reportez-vous aux rubriques suivantes. Rubriques • Concepts (p. 2) • Caractéristiques d'un certificat ACM (p. 3) • Renouvellement géré (p. 5) • Régions prises en charge (p. 5) Version 1.0 1 AWS Certificate Manager Guide de l'utilisateur Concepts • Services pris en charge (p. 6) • Restrictions (p. 6) • Tarification (p. 7) Concepts Cette section présente les termes de base et les concepts associés à AWS Certificate Manager (ACM). Autorité de certification Une autorité de certification (CA) est une entité qui émet des certificats numériques. Dans le commerce, le type le plus courant de certificat numérique repose sur la norme ISO X.509. L'autorité de certification émet des certificats numériques signés qui affirment l'identité de l'objet du certificat et lient cette identité à la clé publique figurant dans le certificat. En général, l'autorité de certification gère la révocation du certificat. Système de noms de domaine Le système de noms de domaine (DNS) est un système d'attribution de noms distribué hiérarchique pour les ordinateurs et autres ressources connectés à Internet ou un réseau privé. DNS convertit les noms de domaine textuels, tels que http://aws.amazon.com, en adresses IP numériques (Internet Protocol). Nom de domaine Le nom de domaine complet (FQDN) est le nom complet, en texte clair, d'un ordinateur ou d'une autre ressource connectée à Internet. Par exemple, aws.amazon.com est le nom de domaine complet d'Amazon Web Services. Un nom de domaine complet se compose de différentes parties. Dans l'exemple précédent, aws est le nom de l'hôte situé dans le domaine amazon.com, et .com est appelé le domaine de niveau supérieur. Le suffixe .com est généralement utilisé pour représenter une activité commerciale. Il existe de nombreux domaines de niveau supérieur différents, notamment .net et .edu. Chiffrement et déchiffrement Le chiffrement est le processus qui assure la confidentialité des données. Le déchiffrement inverse le processus et récupère les données d'origine. Les données non chiffrées sont généralement appelées « texte brut », qu'il s'agisse de texte ou non. Les données chiffrées sont généralement appelées « texte chiffré ». Le chiffrement HTTPS des messages entre les clients et les serveurs utilise des algorithmes et des clés. Les algorithmes définissent la procédure étape par étape qui permet de convertir des données en texte brut en texte chiffré (chiffrement) et à reconvertir en texte brut d'origine du texte chiffré (déchiffrement). Les clés sont utilisées par les algorithmes pendant le processus de chiffrement ou de déchiffrement. Les clés peuvent être publiques ou privées. Nom de domaine complet (FQDN) Voir Nom de domaine (p. 2). Infrastructure à clés publiques (ICP) Une infrastructure à clés publiques (ICP) se compose des matériels, logiciels, personnes, stratégies, documents et procédures nécessaires pour créer, émettre, gérer, distribuer, utiliser, stocker et révoquer des certificats numériques. L'ICP facilite le transfert sécurisé des informations sur les réseaux informatiques. Certificat racine Une autorité de certification appartient généralement à une structure hiérarchique qui contient plusieurs autorités de certification liées par des relations parent-enfant clairement établies. Les autorités de certification subordonnées sont certifiées par leurs autorités de certification parent, ce qui crée une chaîne de certificats. L'autorité de certification située en haut de la hiérarchie est appelée l'autorité de certification racine, et son certificat est appelé le certificat racine. En général, ce certificat est auto-signé. Secure Sockets Layer (SSL) Secure Sockets Layer (SSL) et Transport Layer Security (TLS) sont des protocoles cryptographiques qui assurent la sécurité des communications sur un réseau informatique. TLS Version 1.0 2 AWS Certificate Manager Guide de l'utilisateur Caractéristiques d'un certificat ACM est le successeur de SSL. Ils utilisent tous deux les certificats X.509 pour authentifier le serveur, et ces deux protocoles négocient une clé symétrique entre le client et le serveur, qui sert à chiffrer les données circulant entre les deux entités. HTTPS sécurisé HTTPS signifie HTTP via SSL/TLS, une forme sécurisée de HTTP prise en charge par tous les navigateurs et serveurs principaux. Toutes les demandes et réponses HTTP sont chiffrées avant d’être envoyées sur un réseau. HTTPS combine le protocole HTTP avec les techniques cryptographiques symétriques, asymétriques et basées sur le certificat X.509. HTTPS fonctionne en insérant une couche de sécurité cryptographique sous la couche d'application HTTP et audessus de la couche de transport TCP dans le modèle Open Systems Interconnection (OSI). La couche de sécurité utilise le protocole Secure Sockets Layer (SSL) ou le protocole Transport Layer Security (TLS). Certificats de serveur SSL Les transactions HTTPS requièrent des certificats de serveur pour authentifier un serveur. Un certificat de serveur est une structure de données X.509 v3 qui lie la clé publique figurant dans le certificat à l'objet du certificat. Le certificat SSL/TLS est signé par une autorité de certification (CA) et contient, entre autres, le nom du serveur, la période de validité, la clé publique et l'algorithme de signature. Chiffrement à clé symétrique Le chiffrement à clé symétrique utilise la même clé pour chiffrer et déchiffrer les données numériques. Transport Layer Security (TLS) Voir Secure Sockets Layer (SSL) (p. 2). Approbation Pour permettre à un navigateur Web d'approuver l'identité d'un site Web, le navigateur doit être en mesure de vérifier le certificat de ce site. Toutefois, les navigateurs n'approuvent qu'un petit nombre de certificats appelés certificats d'autorité de certification racine. Un tiers de confiance, appelé autorité de certification (CA), valide l'identité du site Web et émet un certificat numérique signé pour l'opérateur du site Web. Le navigateur peut ensuite vérifier la signature numérique afin de valider l'identité du site Web. Si la validation aboutit, le navigateur affiche une icône de verrouillage dans la barre d'adresse. Caractéristiques d'un certificat ACM Les certificats fournis par ACM ont les caractéristiques présentées et dans cette section. Note Ces caractéristiques s'appliquent uniquement aux certificats fournis par ACM. Elles ne peuvent pas s'appliquer aux certificats que vous importez dans ACM (p. 25). Validation du domaine Les certificats ACM sont des certificats de domaine validé. Autrement dit, le champ d'objet d'un certificat ACM identifie un nom de domaine et rien de plus. Un e-mail est envoyé au propriétaire inscrit pour chaque nom de domaine figurant dans la demande. Le propriétaire du domaine ou un représentant autorisé peut approuver la demande de certificat en suivant les instructions indiquées dans l'e-mail. Pour plus d'informations, consultez Validation de la propriété du domaine (p. 13). Période de validité La période de validité des certificats ACM est actuellement de 13 mois. Renouvellement et déploiement gérés ACM gère le processus de renouvellement des certificats ACM et la mise en service des certificats après leur renouvellement. Le renouvellement automatique peut vous aider à éviter les temps Version 1.0 3 AWS Certificate Manager Guide de l'utilisateur Caractéristiques d'un certificat ACM d'arrêt dus aux certificats mal configurés, révoqués ou expirés. Pour plus d'informations, consultez Renouvellement géré (p. 5). Approbation du navigateur et de l'application Les certificats ACM sont approuvés par tous les navigateurs principaux, notamment Google Chrome, Microsoft Internet Explorer et Microsoft Edge, Mozilla Firefox et Apple Safari. Les navigateurs qui approuvent les certificats ACM affichent une icône de verrouillage dans leur barre d’état ou barre d'adresse lorsqu'ils sont connectés par SSL/TLS aux sites qui utilisent les certificats ACM. Les certificats ACM sont également approuvés par Java. Plusieurs noms de domaine Chaque certificat ACM doit inclure au moins un nom de domaine complet (FQDN), et vous pouvez ajouter d'autres noms si vous le souhaitez. Par exemple, lorsque vous créez un certificat ACM pour www.example.com, vous pouvez également ajouter le nom www.example.net si les clients peuvent atteindre votre site en utilisant un des deux noms. C'est également vrai pour les noms de domaine stricts (aussi appelés domaines de zone apex ou domaines naked). Autrement dit, vous pouvez demander un certificat ACM pour www.example.com et ajouter le nom example.com. Pour plus d'informations, consultez Demande de certificat (p. 12). Noms de caractère générique ACM vous permet d'utiliser un astérisque (*) dans le nom de domaine pour créer un certificat ACM qui contient un nom de caractère générique qui permet de protéger plusieurs sites dans le même domaine. Par exemple, *.example.com protège www.example.com et images.example.com. Note Lorsque vous demandez un certificat générique, l'astérisque (*) doit se trouver à la position la plus à gauche du nom de domaine et ne peut protéger qu'un seul niveau de sous-domaine. Par exemple, *.example.com peut protéger login.example.com et test.example.com, mais ne peut pas protéger test.login.example.com. Notez également que *.example.com protège seulement les sous-domaines de example.com. Il ne protège pas le domaine strict ou apex (example.com). Cependant, vous pouvez demander un certificat qui protège un domaine strict ou apex et ses sousdomaines en spécifiant plusieurs noms de domaines dans votre demande. Par exemple, vous pouvez demander un certificat qui protège example.com et *.example.com. Algorithmes Actuellement, ACM prend en charge le chiffrement RSA-2048 et les algorithmes de hachage SHA-256. Exceptions Remarques : • ACM ne fournit pas de certificats de validation étendue (EV) ou de certificats de validation d'organisation (OV). • ACM ne fournit de certificats que pour les protocoles SSL/TLS. • Vous ne pouvez pas utiliser de certificats ACM pour le chiffrement de code ou d'e-mails. • ACM autorise uniquement le format ASCII codé en UTF-8 pour les noms de domaine, y compris les étiquettes qui contiennent « xn-- » (Punycode). ACM n'accepte pas d'entrée Unicode (étiquettes U) pour les noms de domaine. • ACM ne permet pas actuellement vous permet de refuser le renouvellement de certificat géré (p. 5) pour les certificats fournis par ACM. Le renouvellement géré n'est pas disponible pour les certificats que vous importez dans ACM. • Vous ne pouvez pas demander de certificats pour les noms de domaine qui sont la propriété d'Amazon, par exemple ceux qui se terminent par amazonaws.com, cloudfront.net ou elasticbeanstalk.com. • Vous ne pouvez pas télécharger la clé privée pour un certificat ACM. • Vous ne pouvez pas associer de certificats ACM aux instances Amazon Elastic Compute Cloud (Amazon EC2). Version 1.0 4 AWS Certificate Manager Guide de l'utilisateur Renouvellement géré Renouvellement géré Par défaut, ACM renouvelle automatiquement les certificats fournis par ACM qui sont utilisé avec d'autres services AWS, par exemple Elastic Load Balancing et CloudFront. Le renouvellement géré facilite la configuration et la maintenance de SSL/TLS pour un site Web ou une application sécurisée et est moins enclin aux erreurs que les processus de renouvellement. Le renouvellement géré peut vous aider à éviter les temps d'arrêt dus aux certificats mal configurés, révoqués ou expirés. En outre, le renouvellement géré vous évite d'installer un logiciel client ou un agent sur votre site Web ou d'en assurer la maintenance. Au lieu de cela, étant donné qu'ACM est intégré à d'autres services AWS, vous pouvez gérer et déployer de façon centralisée les certificats ACM sur la plateforme AWS depuis la console, l'AWS CLI ou l'API du service intégré. Pour obtenir la liste des services pris en charge, consultez Services intégrés à AWS Certificate Manager (p. 6). Note Le renouvellement géré s'applique uniquement aux certificats fournis par ACM. ACM ne tente pas de renouveler les certificats que vous importez dans ACM (p. 25). ACM tente d'effectuer des renouvellements automatiques pour tous les certificats ACM avant leur expiration. Si ACM n'est pas en mesure de le faire, il utilise d'autres méthodes de renouvellement, par exemple l'envoi d'un e-mail aux inscrits du domaine. Les certificats qui peuvent être renouvelés automatiquement comprennent ceux qui sont utilisés par les ressources AWS sur un site accessible au public. Cela inclut les certificats des domaines stricts comme example.com. Les conditions suivantes doivent être satisfaites avant qu'un certificat ACM puisse être renouvelé : • DNS doit être configuré pour résoudre tous les noms de domaine complets (FQDN) inclus dans le certificat en la ressource AWS à laquelle le certificat est associé. ACM vérifie que chaque nom de domaine complet (FQDN) est mappé à l'adresse IP publique contrôlée par Amazon. ACM ne vérifie pas la résolution DNS pour les noms de domaine génériques comme *.example.com. • La ressource AWS doit être configurée pour permettre à AWS d'établir une connexion SSL/TLS avec elle depuis Internet. Si un certificat ACM ne peut pas être renouvelé automatiquement, ACM envoie des demandes de validation par e-mail au propriétaire du domaine ou à un représentant autorisé. L'e-mail contient des instructions sur la façon de renouveler le certificat ACM. ACM ne tente pas de renouveler les certificats qui ne sont pas en cours d'utilisation. Pour être considéré comme en cours d'utilisation, un certificat ACM doit être associé à un service AWS comme Elastic Load Balancing ou CloudFront. Si un certificat ACM est en cours d'utilisation, mais n'est pas accessible publiquement en utilisant les noms DNS dans le certificat, ACM tente de renouveler le certificat par validation par e-mail. En cas d’échec de la validation par e-mail, ACM vous en informe en créant un ticket de support qui envoie un e-mail à l'adresse enregistrée avec votre compte AWS. ACM commence le processus de renouvellement 60 jours maximum avant la date d'expiration du certificat. La durée de validité des certificats fournis par ACM est actuellement de 13 mois. ACM génère une nouvelle paire de clés lors du renouvellement du certificat ACM. AWS émet un nouveau certificat avec une nouvelle paire de clés sans modifier les autres champs du certificat. Régions prises en charge Consultez Régions et points de terminaison AWS dans le AWS General Referenceou le Tableau des régions AWS pour voir la disponibilité régionale d'ACM. Version 1.0 5 AWS Certificate Manager Guide de l'utilisateur Services pris en charge Comme la plupart des ressources AWS, les certificats présents dans ACM sont des ressources régionales. Pour utiliser un certificat avec Elastic Load Balancing pour le même nom de domaine complet (FQDN) ou un ensemble de noms de domaine complets dans plusieurs régions AWS, vous devez demander ou importer un certificat pour chaque région. Pour les certificats fournis par ACM, cela signifie que vous devez revalider chaque nom de domaine dans le certificat pour chaque région. Vous ne pouvez pas copier un certificat entre les régions. Pour utiliser un certificat ACM avec Amazon CloudFront, vous devez le demander ou l'importer dans la région USA Est (Virginie du Nord). Les certificats ACM de cette région qui sont associés à une distribution CloudFront sont distribués à tous les emplacements géographiques configurés pour cette distribution. Services intégrés à AWS Certificate Manager Elastic Load Balancing Elastic Load Balancing répartit automatiquement votre trafic applicatif entrant sur plusieurs instances Amazon EC2. Elastic Load Balancing détecte les instances qui ne sont pas saines et redirige le trafic en conséquence, en attendant que ces instances soient restaurées. Elastic Load Balancing ajuste automatiquement sa capacité de traitement des demandes en réponse au trafic entrant. Pour plus d'informations sur l'équilibrage de charge, consultez le Manuel du développeur Elastic Load Balancing. En général, pour servir du contenu sécurisé via SSL/TLS, les équilibreurs de charge requièrent que les certificats SSL/TLS soient installés sur l'équilibreur de charge ou l'instance principale Amazon EC2. ACM s'intègre à Elastic Load Balancing pour déployer les certificats ACM sur l’équilibreur de charge. Pour une mise en route rapide sur la façon d'utiliser Elastic Load Balancing, consultez Démarrer avec Elastic Load Balancing (p. 21). Amazon CloudFront Amazon CloudFront est un service Web qui accélère la distribution de votre contenu Web statique et dynamique aux utilisateurs finaux en diffusant votre contenu depuis un réseau mondial d'emplacements périphériques. Lorsqu'un utilisateur final demande le contenu que vous servez via CloudFront, il est dirigé vers l'emplacement périphérique qui fournit la latence la plus faible de sorte que le contenu soit diffusé avec les meilleures performances possibles. Si le contenu se trouve actuellement dans cet emplacement périphérique, CloudFront le diffuse immédiatement. Si le contenu ne se trouve pas actuellement dans cet emplacement périphérique, CloudFront l'extrait du compartiment Amazon S3 ou du serveur Web que vous avez identifié comme la source du contenu final. Pour plus d'informations sur CloudFront, consultez le Guide du développeur Amazon CloudFront. Pour servir du contenu sécurisé via SSL/TLS, CloudFront requiert que les certificats SSL/TLS soient installés sur la distribution CloudFront ou la source de contenu principale. ACM est intégré à CloudFront pour déployer les certificats ACM sur la distribution CloudFront. Pour une mise en route rapide sur la façon d'utiliser CloudFront, consultez Mise en route de Amazon CloudFront (p. 23). Note Pour utiliser un certificat ACM avec CloudFront, vous devez demander ou importer le certificat dans la région USA Est (Virginie du Nord). Restrictions Les limites suivantes d'AWS Certificate Manager (ACM) s'appliquent à chaque région AWS et chaque compte AWS. Pour demander des limites supérieures, créez une demande dans le Centre AWS Support. Les nouveaux comptes AWS peuvent commencer avec des limites inférieures à celles présentées ici. Version 1.0 6 AWS Certificate Manager Guide de l'utilisateur Nombre de noms de domaine par certificat ACM Elément Limite par défaut Nombre de certificats fournis par ACM 100 Nombre de certificats importés 100 Nombre de noms de domaine par certificat fourni par ACM 10. Consultez les informations suivant ce tableau. Note La limite appliquée au nombre de noms de domaine par certificat ACM s'applique uniquement aux certificats fournis par ACM. Cette limite ne s'applique pas aux certificats que vous importez dans ACM (p. 25). La section suivante s'applique uniquement aux certificats fournis par ACM. Nombre de noms de domaine par certificat ACM La limite par défaut est 10 noms de domaine par certificat ACM. Pour demander une limite supérieure, lisez les informations suivantes et créez ensuite une demande dans le Centre AWS Support. Vous ne pouvez pas ajouter ou supprimer de noms de domaine dans un certificat ACM existant. A la place, vous devez demander un nouveau certificat contenant la liste révisée des noms de domaine. Pour cela, vous devez valider la propriété (p. 13) de tous les noms de domaine dans la demande, y compris les noms de domaine que vous avez validés auparavant pour le certificat d'origine. Pour chaque nom de domaine figurant dans la demande, vous recevez 8 e-mails de validation maximum, parmi lesquels il doit être donné suite à au moins un dans les 72 heures. Par exemple, lorsque vous demandez un certificat contenant 5 noms de domaine, vous recevez 40 emails de validation maximum, parmi lesquels il doit être donné suite à au moins 5 dans les 72 heures. Pour ajouter 4 autres noms de domaine au certificat, vous devez demander un nouveau certificat contenant les 9 noms de domaine, ce qui génère 72 e-mails au maximum, parmi lesquels il doit être donné suite à au moins 9 dans les 72 heures. Lorsque le nombre de noms de domaine contenus dans la demande de certificat augmente, le travail nécessaire pour valider la propriété des noms de domaine augmente aussi chaque fois que vous apportez une modification aux noms de domaine dans le certificat. Avant de demander une augmentation du nombre de noms de domaine autorisé par certificat ACM, tenez compte des frais généraux de gestion nécessaires pour valider la propriété des noms de domaine chaque fois que vous souhaitez modifier les noms de domaine dans un certificat. Vous trouverez peut-être plus facile de demander un nombre élevé de certificats contenant seulement un ou deux noms de domaine dans chaque certificat plutôt que de demander un nombre réduit de certificats avec plusieurs noms de domaine dans chaque certificat. Tarification d'AWS Certificate Manager Vous n’êtes pas facturé par AWS pour les certificats SSL/TLS que vous gérez avec AWS Certificate Manager. Vous ne payez que les ressources AWS que vous créez pour exécuter votre site Web ou votre application. Pour obtenir les dernières informations sur la tarification ACM, consultez la page Tarification d'AWS Certificate Manager sur le site Web AWS. Version 1.0 7 AWS Certificate Manager Guide de l'utilisateur Configuration d'AWS et d'IAM Configuration Avec AWS Certificate Manager (ACM), vous pouvez mettre en service, gérer et déployer rapidement des certificats SSL/TLS pour vos sites Web et applications basés sur AWS. Vous utilisez ACM pour mettre en service et gérer le certificat, puis utiliser d'autres services AWS pour déployer le certificat pour votre site Web ou votre application. Pour plus d'informations sur les services intégrés à ACM consultez Services intégrés à AWS Certificate Manager (p. 6). Les rubriques suivantes présentent les actions à effectuer avant d'utiliser ACM. Note En plus d'utiliser les certificats fournis par ACM, vous pouvez également importer des certificats dans ACM. Pour plus d'informations, consultez Importation de certificats (p. 25). Rubriques • Configuration d'AWS et d'IAM (p. 8) • Enregistrement d'un nom de domaine (p. 9) • Configuration d'une adresse e-mail pour votre domaine (p. 9) • Configuration de votre site Web ou de votre application (p. 10) Configuration d'AWS et d'IAM Avant de pouvoir utiliser ACM, vous devez vous inscrire à Amazon Web Services. Vous pouvez éventuellement créer un utilisateur IAM pour limiter les actions que vos utilisateurs peuvent exécuter. Inscription à AWS Si vous n’êtes pas déjà un client Amazon Web Services (AWS), vous devez vous inscrire pour pouvoir utiliser ACM. Votre compte est automatiquement inscrit à tous les services disponibles, mais vous ne payez que les services que vous utilisez. De même, si vous êtes un nouveau client AWS, vous bénéficiez d'une mise en route gratuite. Pour plus d'informations, consultez Offre gratuite d'AWS. Pour créer un compte AWS 1. Rendez-vous sur http://aws.amazon.com/ et choisissez S'inscrire. Version 1.0 8 AWS Certificate Manager Guide de l'utilisateur Créer un utilisateur IAM 2. Suivez les instructions à l'écran. Note La procédure d'inscription inclut la réception d'un appel téléphonique automatisé et la saisie de votre code PIN sur le clavier du téléphone. Vous devez également fournir un numéro de carte de crédit, même si vous vous inscrivez à l'offre gratuite. Créer un utilisateur IAM Pour accéder à Amazon Web Services, vous devez fournir vos informations d'identification afin que chaque service puisse déterminer si vous êtes autorisé à utiliser ses ressources. La console exige votre nom d'utilisateur et votre mot de passe, et vous pouvez créer des clés d'accès pour utiliser l'interface de ligne de commande ou l'API. Etant donné que vos informations d'identification racine permettent un accès illimité, nous ne vous recommandons pas de les utiliser avec AWS. En revanche, nous vous recommandons d'utiliser AWS Identity and Access Management (IAM) pour créer des utilisateurs disposant d'autorisations plus limitées. Autrement dit, créez un utilisateur IAM et ajoutez-le à un groupe IAM qui possède un ensemble d'autorisations spécifique. Vous pouvez ensuite accéder à AWS à l'aide d'une URL spéciale et des informations d'identification de l'utilisateur. Par exemple, pour créer un groupe Administrateurs et y ajouter des utilisateurs, consultez Création d'un groupe Administrateurs dans le Guide de l'utilisateur AWS Identity and Access Management. L'utilisateur peut ensuite se connecter au compte avec une URL spéciale. Pour plus d'informations, consultez Comment les utilisateurs se connectent à votre compte . Pour obtenir des exemples de stratégies IAM qui peuvent être utilisés avec ACM, consultez Autorisations et stratégies (p. 32). Enregistrement d'un nom de domaine Le nom de domaine complet (FQDN) est le nom spécifique d'une organisation ou d'une personne sur Internet, suivi d'une extension de domaine de niveau supérieur, par exemple .com ou .edu. Si vous n'avez pas de nom de domaine enregistré, vous pouvez en enregistrer un via Amazon Route 53 ou des dizaines d'autres registres du commerce. En général, vous accédez au site Web du registre et vous demandez un nom de domaine. Le registre interroge WHOIS afin de déterminer si le nom de domaine complet demandé est disponible. Si c'est le cas, le registre affiche habituellement la liste des noms associés qui diffèrent selon l'extension de domaine, et vous donne l'occasion d'acquérir l'un des noms disponibles. L'enregistrement dure généralement pendant une période de temps définie, par exemple un ou deux ans avant son renouvellement obligatoire. Pour plus d'informations sur Amazon Route 53, consultez Enregistrement de noms de domaine à l'aide d'Amazon Route 53. Configuration d'une adresse e-mail pour votre domaine Une fois que vous avez enregistré un nom de domaine, utilisez le site Web de votre registre pour lui associer une adresse e-mail. En général, les registres de noms de domaine requièrent que vous établissiez la liste des coordonnées de contact pour votre domaine. Les informations de contact sont entrées avec WHOIS. ACM utilise les informations de contact pour identifier la personne à contacter Version 1.0 9 AWS Certificate Manager Guide de l'utilisateur Configuration de votre site Web ou de votre application lors de la validation de la propriété du domaine. Au cours du processus de validation de votre identité, un e-mail est envoyé aux trois adresses de contact suivantes enregistrées dans WHOIS : • Inscrit du domaine • Contact technique • Contact administratif Note Certains registres vous permettent de masquer vos informations sur le contact dans votre liste WHOIS, et d'autres vous permettent de remplacer votre adresse e-mail réelle par une adresse confidentielle (ou proxy). Afin d’éviter les problèmes liés à la réception de l'e-mail de validation de domaine, vérifiez que les informations sur le contact sont visibles dans WHOIS. Si la liste WHOIS affiche une adresse e-mail confidentielle, assurez-vous que l'e-mail envoyé à cette adresse est transmis à votre adresse e-mail réelle ou ajoutez cette dernière à la place. Un e-mail est également envoyé aux cinq adresses d'administration système courantes suivantes : • administrator@votre_domaine • hostmaster@votre_domaine • postmaster@votre_domaine • webmaster@votre_domaine • admin@votre_domaine L'e-mail de validation contient les instructions à suivre pour confirmer que le propriétaire du domaine ou un représentant désigné approuve le certificat ACM. Pour plus d'informations sur la validation, consultez Validation de la propriété du domaine (p. 13). Configuration de votre site Web ou de votre application Vous pouvez installer votre site Web sur une instance Amazon EC2 Linux ou Windows. Pour plus d'informations sur les instances Amazon EC2 Linux, consultez Guide de l'utilisateur Amazon Elastic Compute Cloud pour Linux. Pour plus d'informations sur les instances Amazon EC2 Windows, consultez Guide de l'utilisateur Amazon Elastic Compute Cloud pour Microsoft Windows. Note Actuellement, les certificats ACM sont associés aux équilibreurs de charge Elastic Load Balancing ou aux distributions Amazon CloudFront. Même si vous installez votre site Web sur une instance Amazon EC2, vous ne déployez pas de certificat ACM sur cette instance. Par contre, déployez le certificat ACM sur votre équilibreur de charge Elastic Load Balancing ou votre distribution CloudFront. Afin d'obtenir rapidement un site Web opérationnel sur Windows ou Linux, consultez les rubriques suivantes. Rubriques • Guide de démarrage rapide Linux (p. 11) • Guide de démarrage rapide Windows (p. 11) Version 1.0 10 AWS Certificate Manager Guide de l'utilisateur Guide de démarrage rapide Linux Guide de démarrage rapide Linux Pour créer votre site Web ou votre application sur une instance Linux, vous pouvez choisir une image Amazon Machine Image (AMI) Linux et installer dessus un serveur Web Apache. Pour plus d'informations, consultez Didacticiel : Installation d'un serveur Web LAMP sur Amazon Linux dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux. Guide de démarrage rapide Windows Afin d'acquérir un serveur Microsoft Windows sur lequel vous pouvez installer votre site Web ou votre application, choisissez une AMI Windows Server livrée avec un serveur Web Microsoft Internet Information Services (IIS). Utilisez ensuite le site Web par défaut ou créez-en un nouveau. Version 1.0 11 AWS Certificate Manager Guide de l'utilisateur Demande et gestion de certificats Mise en route Vous pouvez utiliser la console, l'AWS Command Line Interface (AWS CLI) ou le kit SDK pour vous familiariser avec AWS Certificate Manager et les services intégrés à ACM. Pour plus d'informations, consultez les rubriques suivantes. Rubriques • Demande et gestion de certificats ACM (p. 12) • Démarrer avec Elastic Load Balancing (p. 21) • Mise en route de Amazon CloudFront (p. 23) Demande et gestion de certificats ACM Les rubriques suivantes vous aident à commencer à utiliser la console ou l'AWS CLI AWS Certificate Manager. Rubriques • Demande de certificat (p. 12) • Validation de la propriété du domaine (p. 13) • Gestion des certificats ACM (p. 18) Demande de certificat Les sections suivantes expliquent comment utiliser la console ACM ou l'AWS CLI pour demander un certificat ACM. Pour demander un certificat ACM (console) 1. 2. Connectez-vous à AWS Management Console et ouvrez la console ACM à l'adresse https:// console.aws.amazon.com/acm. Si la page d'introduction s'affiche, sélectionnez Get Started. Sinon, choisissez Request a certificate. Dans la page Request a certificate, saisissez votre nom de domaine. Vous pouvez utiliser un nom de domaine complet (FQDN), par exemple www.example.com ou un nom de domaine strict ou apex, par exemple example.com. Vous pouvez également utiliser un astérisque (*) comme caractère générique à la position la plus à gauche pour protéger plusieurs noms de site dans le même domaine. Par exemple, *.example.com protège corp.example.com et images.example.com. Le nom du caractère générique s'affiche dans le champ Subject et dans l'extension du certificat ACM Subject Alternative Names. Version 1.0 12 AWS Certificate Manager Guide de l'utilisateur Validation de la propriété du domaine Note Lorsque vous demandez un certificat générique, l'astérisque (*) doit se trouver à la position la plus à gauche du nom de domaine et ne peut protéger qu'un seul niveau de sous-domaine. Par exemple, *.example.com peut protéger login.example.com et test.example.com, mais ne peut pas protéger test.login.example.com. Notez également que *.example.com protège seulement les sous-domaines de example.com. Il ne protège pas le domaine strict ou apex (example.com). Pour protéger les deux, consultez l'étape suivante. 3. Pour ajouter plusieurs noms de domaine au certificat ACM, choisissez Add more names et tapez un autre nom de domaine dans la zone de texte qui s'affiche. C'est très utile pour protéger un nom de domaine strict ou apex (comme example.com) et ses sous-domaines (*.example.com). 4. Une fois que vous avez entré les noms de domaine valides, choisissez Review and Request, ou Cancel pour quitter. Si la page de vérification contient correctement les informations que vous avez entrées pour votre demande, choisissez Confirm and request. La page suivante montre que votre demande a l'état En attente de validation. 5. Pour permettre l'émission d'un certificat ACM, un représentant autorisé doit s'assurer que le certificat a été demandé. Pour plus d'informations, consultez Validation de la propriété du domaine (p. 13). Pour demander un certificat ACM (AWS CLI) Utilisez la commande request-certificate pour demander un nouveau certificat ACM à l'aide de la ligne de commande. aws acm request-certificate --domain-name www.example.com Pour plus d'informations et pour obtenir des exemples, consultez la référence de l'AWS CLI. Validation de la propriété du domaine Note Les informations de cette section s'applique uniquement aux certificats fournis par ACM. ACM ne valide pas la propriété du domaine pour les certificats que vous importez dans ACM (p. 25). Version 1.0 13 AWS Certificate Manager Guide de l'utilisateur Validation de la propriété du domaine Pour permettre à l'autorité de certification (CA) d'Amazon d'émettre un certificat pour votre site, AWS Certificate Manager (ACM) doit vérifier que vous possédez ou contrôlez le domaine pour lequel le certificat ACM sera émis. ACM effectue cela en envoyant un e-mail de validation de domaine à une adresse qui est enregistrée pour le domaine. Pour plus d'informations, consultez Configuration d'une adresse e-mail pour votre domaine (p. 9). Cet e-mail est envoyé aux trois adresses de contact suivantes dans WHOIS : • Inscrit du domaine • Contact technique • Contact administratif Note Certains registres vous permettent de masquer vos informations sur le contact dans votre liste WHOIS, et d'autres vous permettent de remplacer votre adresse e-mail réelle par une adresse confidentielle (ou proxy). Afin d’éviter les problèmes liés à la réception de l'e-mail de validation de domaine, vérifiez que les informations sur le contact sont visibles dans WHOIS. Si la liste WHOIS affiche une adresse e-mail confidentielle, assurez-vous que l'e-mail envoyé à cette adresse est transmis à votre adresse e-mail réelle ou ajoutez cette dernière à la place. L'e-mail est également envoyé aux cinq adresses d'administration système courantes suivantes, où votre_domaine est le nom de domaine que vous avez entré lorsque vous avez demandé le certificat au départ. • administrator@votre_domaine • hostmaster@votre_domaine • postmaster@votre_domaine • webmaster@votre_domaine • admin@votre_domaine Note Il existe une exception pour le processus décrit ci-dessus. Si vous demandez un certificat ACM pour un nom de domaine qui commence par www ou un caractère générique astérisque (*), ACM supprime le préfixe www ou l'astérisque et envoie un e-mail aux adresses administratives formées en ajoutant admin@, administrator@, hostmaster@, postmaster@ et webmaster@ devant la partie restante du nom du domaine. Par exemple, si vous demandez un certificat ACM pour www.example.com, l'e-mail n'est pas envoyé à [email protected] mais à [email protected]. De même, si vous demandez un certificat ACM pour *.test.example.com, l'e-mail est envoyé à [email protected]. Les adresses administratives courantes restantes sont formées de la même manière. Note Pour vérifier que l'e-mail est bien envoyé aux adresses administratives d'un domaine apex, par exemple example.com, et pas à celles d'un sous-domaine, par exemple test.example.com, spécifiez l'option ValidationDomain dans l'API RequestCertificate ou la commande d'AWS CLI request-certificate. Cette fonctionnalité n'est pas prise en charge actuellement dans la console. L'e-mail de validation suivant est envoyé. Version 1.0 14 AWS Certificate Manager Guide de l'utilisateur Validation de la propriété du domaine Cliquez sur le lien qui vous envoie vers le site des approbations de certificats Amazon et choisissez I Approve. Version 1.0 15 AWS Certificate Manager Guide de l'utilisateur Validation de la propriété du domaine Après avoir choisi I Approve, un site Web s'ouvre pour indiquer que votre demande a abouti. Version 1.0 16 AWS Certificate Manager Guide de l'utilisateur Validation de la propriété du domaine Vous pouvez revenir à la console ACM en cliquant sur un lien dans la page de réussite. Dans la console, la colonne Status indique que le certificat ACM a été Emis. Version 1.0 17 AWS Certificate Manager Guide de l'utilisateur Gestion des certificats ACM Gestion des certificats ACM Une fois que vous avez demandé (p. 12) un ou plusieurs certificats et qu'AWS Certificate Manager les a fournis, vous pouvez gérer ces certificats dans la AWS Management Console ou l'AWS CLI. Vous pouvez également gérer les certificats que vous avez importés (p. 25). Gérer des certificats ACM (console) Vous pouvez utiliser la console ACM pour obtenir des informations sur un certificat ACM ou le supprimer. Pour les certificats fournis par ACM, vous pouvez également demander à ACM de renvoyer l'e-mail de validation. Affichage des informations de certificat ACM Chacun des certificats ACM occupe une ligne dans la console. Par défaut, les colonnes suivantes sont affichées pour chaque certificat : • Domain Name – nom de domaine complet pour le certificat. • Additional Names – noms supplémentaires pris en charge par ce certificat. • Status – statut du certificat. Il peut s'agir de l'une des valeurs suivantes : • Pending validation • Issued • Inactive • Expired • Revoked • Failed • Timed out • In Use? – Si le certificat ACM est associé activement à un service AWS comme Elastic Load Balancing ou CloudFront. La valeur peut être No ou Yes. Personnalisation de l’écran de la console Vous pouvez sélectionner les colonnes à afficher en choisissant l'icône engrenage ( supérieur droit de la console. Vous pouvez choisir parmi les colonnes suivantes. Version 1.0 18 ) dans le coin AWS Certificate Manager Guide de l'utilisateur Gestion des certificats ACM Affichage des métadonnées du certificat Pour afficher les métadonnées du certificat ACM, choisissez la flèche immédiatement à gauche du nom de domaine. La console affiche des informations similaires aux informations suivantes. Version 1.0 19 AWS Certificate Manager Guide de l'utilisateur Gestion des certificats ACM Suppression d'un certificat ACM Dans la liste des certificats, activez la case à cocher correspondant au certificat ACM que vous souhaitez supprimer. Pour Actions, choisissez Delete. Renvoi d'un e-mail de validation (certificats fournis par ACM) Vous approuvez une demande de certificat ACM en utilisant un jeton de validation qu'ACM envoie au représentant autorisé. Cependant, étant donné que l'e-mail de validation nécessaire pour le processus d'approbation peut être bloqué par des filtres anti-spam ou perdu en transit, le jeton de validation expire automatiquement au bout de 72 heures. Si le représentant inscrit ne reçoit pas l'e-mail d'origine ou que le jeton a expiré, vous pouvez demander que l'e-mail soit renvoyé en activant la case à cocher correspondant au certificat ACM, en choisissant le bouton Actions, puis Resend email. Si la période de 72 heures est dépassée et que le certificat est passé à l'état Timed out, vous ne pouvez pas renvoyer l'e-mail de validation. Version 1.0 20 AWS Certificate Manager Guide de l'utilisateur Elastic Load Balancing Note Les informations précédentes s'appliquent uniquement aux certificats fournis par ACM. Vous ne pouvez pas renvoyer l'e-mail de validation pour les certificats que vous avez importés dans ACM (p. 25). Gestion des certificats ACM (AWS CLI) Vous pouvez utiliser l'AWS CLI pour obtenir des informations sur un certificat émis, supprimer un certificat ou renvoyer l'e-mail de validation. Récupération des champs de certificat ACM Vous pouvez utiliser la commande describe-certificate pour récupérer des informations sur un certificat. aws acm describe-certificate --certificate-arn arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012 Suppression d'un certificat ACM Vous pouvez utiliser la commande delete-certificate pour supprimer un certificat. aws acm delete-certificate --certificate-arn arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012 Renvoi d'un e-mail de validation (certificats fournis par ACM) Vous pouvez utiliser la commande resend-validation-email pour renvoyer un e-mail de validation. aws acm resend-validation-email --certificate-arn arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012 -validation-domain example.com Note Les informations précédentes s'appliquent uniquement aux certificats fournis par ACM. Vous ne pouvez pas renvoyer l'e-mail de validation pour les certificats que vous avez importés dans ACM (p. 25). Démarrer avec Elastic Load Balancing Vous n'installez pas votre certificat ACM directement sur les instances Amazon EC2 qui contiennent votre site Web ou votre application. Par contre, vous associez le certificat ACM à un service AWS, par exemple Elastic Load Balancing. Elastic Load Balancing améliore la disponibilité de votre site Web ou de votre application en répartissant automatiquement le trafic entrant sur vos instances Amazon EC2. L'équilibreur de charge constitue un point de contact unique pour les clients. L'illustration suivante le montre. Version 1.0 21 AWS Certificate Manager Guide de l'utilisateur Elastic Load Balancing Vous devez suivre les étapes ci-dessous pour utiliser ACM avec un équilibreur de charge. 1. Installer un site Web ou une application sur une ou plusieurs instances Amazon EC2. 2. Créer un équilibreur de charge Elastic Load Balancing pour acheminer le trafic client vers les instances Amazon EC2. 3. Utiliser la console, l'API ou l'AWS Command Line Interface ACM pour demander un certificat ACM (p. 12) ou importer un certificat dans ACM (p. 25). 4. Utiliser la console, l'API ou l'AWS CLI Elastic Load Balancing pour mettre en service le certificat ACM sur l'équilibreur de charge. 5. Les clients accèdent au site Web via l’équilibreur de charge. 6. L’équilibreur de charge répartit le trafic client sur les instances Amazon EC2. Pour plus d'informations sur la manière de configurer votre équilibreur de charge pour utiliser un certificat fourni par ACM (étape 4 de la liste précédente), consultez l'une des rubriques suivantes : • Création d'un écouteur HTTPS pour votre équilibreur de charge d'application dans le Equilibreur de charge d'application Guide • Ecouteurs HTTPS pour votre équilibreur de charge classique dans le Equilibreur de charge classique Guide Version 1.0 22 AWS Certificate Manager Guide de l'utilisateur Amazon CloudFront Mise en route de Amazon CloudFront Amazon CloudFront est un service Web qui accélère la distribution de votre contenu Web statique et dynamique en diffusant votre contenu via un réseau mondial d'emplacements périphériques. Pour plus d'informations, consultez le Manuel du développeur Amazon CloudFront. Pour plus d'informations sur l'utilisation de HTTPS avec CloudFront, consultez Utilisation d'une connexion HTTPS pour accéder vos objets dans le Amazon CloudFront Manuel du développeur. L'illustration suivante montre comment ACM et CloudFront peuvent être utilisés conjointement pour diffuser votre contenu en toute sécurité via les emplacements périphériques. Vous devez effectuer les étapes suivantes pour utiliser ACM avec CloudFront. Note Pour utiliser un certificat ACM avec CloudFront, vous devez demander ou importer le certificat dans la région USA Est (Virginie du Nord). 1. Configurez vos serveurs d'origine pour stocker la version définitive d'origine de votre contenu. Votre origine peut être soit un compartiment Amazon S3 ou une instance de serveur Web Amazon EC2. 2. Créez une distribution CloudFront qui indique à CloudFront les serveurs d'origine sur lesquels récupérer vos fichiers lorsque les utilisateurs effectuent des demandes via votre site Web ou votre application. 3. Utilisez la console ACM, l'API ACM ou l'AWS CLI pour demander un certificat (p. 12) ou importer un certificat dans ACM (p. 25). Utilisez la console, l'API ou l'AWS CLI CloudFront pour associer votre certificat ACM à la distribution CloudFront. CloudFront envoie la configuration de votre distribution (mais pas votre contenu) à l'ensemble de ses emplacements périphériques. Les emplacements périphériques sont des collections de 4. 5. Version 1.0 23 AWS Certificate Manager Guide de l'utilisateur Amazon CloudFront serveurs situées dans des centres de données géographiquement dispersés, sur lesquelles CloudFront met en cache des copies de votre site Web ou des fichiers de votre application. 6. Lorsqu'un utilisateur accède à votre site Web et demande un ou plusieurs objets, DNS dirige l'utilisateur vers l'emplacement périphérique CloudFront qui peut le mieux satisfaire la demande. Pour plus d'informations sur la façon dont CloudFront diffuse le contenu à vos utilisateurs, consultez Diffusion de contenu par CloudFront dans le Amazon CloudFront Manuel du développeur. Version 1.0 24 AWS Certificate Manager Guide de l'utilisateur Importation de certificats dans AWS Certificate Manager En plus de demander des certificats SSL/TLS fournis par AWS Certificate Manager (ACM), vous pouvez importer des certificats que vous avez obtenus hors d'AWS. Ce cas peut se produire si vous avez déjà obtenu un certificat auprès d'un émetteur tiers ou que les certificats fournis par ACM ne répondent pas à vos besoins. Une fois que vous avez importé un certificat, vous pouvez l'utiliser avec les services AWS qui sont intégrés avec ACM (p. 6). Les certificats que vous importez fonctionnent de la même manière que ceux fournis par ACM, à une exception importante près : ACM ne fournit pas de renouvellement géré (p. 5) pour les certificats importés. Important Vous êtes chargé de surveiller la date d'expiration de vos certificats importés et de les renouveler avant leur expiration. La console ACM affiche un avertissement lorsqu'un certificat approche de sa date d'expiration. Pour renouveler un certificat importé, vous pouvez obtenir un nouveau certificat auprès de l'émetteur de votre certificat et l'importer ensuite dans ACM. Vous pouvez aussi demander un nouveau certificat (p. 12) à ACM. Tous les certificats présents dans ACM sont des ressources régionales, y compris les certificats que vous importez. Pour utiliser le même certificat avec les équilibreurs de charge Elastic Load Balancing dans différentes régions AWS, vous devez importer le certificat dans chaque région où vous souhaitez l'utiliser. Pour utiliser un certificat avec Amazon CloudFront, vous devez l'importer dans la région USA Est (Virginie du Nord). Pour plus d'informations, consultez Régions prises en charge (p. 5). Pour plus d'informations sur la procédure à suivre pour importer des certificats dans ACM, consultez les rubriques suivantes. Rubriques • Conditions préalables à l'importation de certificats (p. 26) • Importation de certificats (AWS Management Console) (p. 26) • Importation de certificats (API ACM) (p. 26) Version 1.0 25 AWS Certificate Manager Guide de l'utilisateur Conditions préalables à l'importation de certificats • Dépannage (p. 27) Conditions préalables à l'importation de certificats Pour importer un certificat dans ACM, vous devez fournir le certificat et sa clé privée correspondante. Si le certificat n'est pas auto-signé, vous devez également fournir une chaîne de certificats. (Vous n'avez pas besoin d'une chaîne de certificats lorsque vous importez un certificat auto-signé.) Avant d'importer un certificat, vérifiez que vous avez tous ces éléments et qu'ils répondent aux critères suivants : • Le certificat doit contenir une clé publique RSA 1 024 bits ou 2 048 bits. • Le certificat doit être un certificat SSL/TLS comprenant au moins un nom de domaine complet. Vous ne pouvez pas importer un certificat pour signer du code, chiffrer des courriers électroniques, ou pour d'autres utilisations. • Le certificat doit être valide au moment de son importation. Vous ne pouvez pas importer un certificat avant le début de sa période de validité (date NotBefore du certificat) ou après son expiration (date NotAfter du certificat). • La clé privée doit être non chiffrée. Vous ne pouvez pas importer une clé privée qui est protégée par un mot de passe ou une phrase secrète. Pour obtenir de l'aide pour déchiffrer une clé privée chiffrée, consultez Dépannage (p. 27). • Le certificat, la clé privée et la chaîne de certificats doivent être codés PEM. Pour obtenir de l'aide pour convertir ces éléments au format PEM, consultez Dépannage (p. 27). Importation de certificats (AWS Management Console) Pour importer un certificat dans ACM (console) 1. Ouvrez la console ACM à l'adresse https://console.aws.amazon.com/acm/home. 2. Choisissez Import a certificate. 3. Procédez comme suit : a. Pour Certificate body, collez le certificat codé PEM à importer. b. Pour Certificate private key, collez la clé privée codée PEM, non chiffrée, correspondant à la clé publique du certificat. c. (Facultatif) Pour Certificate chain, collez la chaîne de certificats codée PEM. 4. Choisissez Review and import. 5. Vérifiez les informations concernant votre certificat, puis choisissez Import. Importation de certificats (API ACM) Pour utiliser l'API ACM pour importer un certificat, envoyez une demande ImportCertificate. L'exemple suivant montre comment procéder avec l'AWS Command Line Interface (AWS CLI). Dans cet exemple il est supposé que : • Le certificat codé PEM est stocké dans un fichier nommé Certificate.pem. • La chaîne de certificats codée PEM est stockée dans un fichier nommé CertificateChain.pem. Version 1.0 26 AWS Certificate Manager Guide de l'utilisateur Dépannage • La clé privée non chiffrée, codée PEM est stockée dans un fichier nommé PrivateKey.pem. Pour utiliser l'exemple de commande suivant, remplacez ces noms de fichier par les vôtres et tapez la commande sur une seule ligne continue. L'exemple suivant inclut des sauts de ligne et des espace supplémentaires pour le rendre plus facile à lire. $ aws acm import-certificate --certificate file://Certificate.pem --certificate-chain file://CertificateChain.pem --private-key file://PrivateKey.pem Lorsque la commande précédente aboutit, elle retourne les Amazon Resource Name (ARN) du certificat importé. Dépannage Pour pouvoir importer un certificat dans ACM, vous devez vérifier que le certificat, la clé privée et la chaîne de certificats sont tous codés PEM. Vous devez également vous assurer que la clé privée est non chiffrée. Voir les exemples suivantes. Example Certificat PEM codé -----BEGIN CERTIFICATE----Base64-encoded certificate -----END CERTIFICATE----- Example Clé privée non chiffrée codée PEM -----BEGIN RSA PRIVATE KEY----Base64-encoded private key -----END RSA PRIVATE KEY----- Example Chaîne de certificats codée PEM Une chaîne de certificats contient un ou plusieurs certificats. L'exemple suivant contient trois certificats, mais votre chaîne de certificats peut en contenir plus ou moins. -----BEGIN CERTIFICATE----Base64-encoded certificate -----END CERTIFICATE---------BEGIN CERTIFICATE----Base64-encoded certificate -----END CERTIFICATE---------BEGIN CERTIFICATE----Base64-encoded certificate -----END CERTIFICATE----- Si ces éléments ne sont pas au bon format pour être importés dans ACM, vous pouvez utiliser OpenSSL pour les convertir au format approprié. Pour convertir un certificat ou une chaîne de certificats DER en PEM Utilisez la commande OpenSSL x509, comme dans l'exemple suivant. Dans la commande suivante, remplacez Certificate.der par le nom du fichier qui contient votre certificat codé Version 1.0 27 AWS Certificate Manager Guide de l'utilisateur Dépannage DER. Remplacez Certificate.pem par le nom souhaité du fichier de sortie devant contenir le certificat codé PEM. $ openssl x509 -inform DER -in Certificate.der -outform PEM out Certificate.pem Pour convertir une clé privée de DER en PEM Utilisez la commande OpenSSL rsa, comme dans l'exemple suivant. Dans la commande suivante, remplacez PrivateKey.der par le nom du fichier qui contient votre clé privée codée DER. Remplacez PrivateKey.pem par le nom souhaité du fichier de sortie devant contenir la clé privée codée PEM. $ openssl rsa -inform DER -in PrivateKey.der -outform PEM out PrivateKey.pem Pour déchiffrer une clé privée chiffrée (supprimer le mot de passe ou la phrase passe) Utilisez la commande OpenSSL rsa, comme dans l'exemple suivant. Pour utiliser la commande suivante, remplacez EncryptedPrivateKey.pem par le nom du fichier qui contient votre clé privée chiffrée. Remplacez PrivateKey.pem par le nom souhaité du fichier de sortie devant contenir la clé privée non chiffrée codée PEM. $ openssl rsa -in EncryptedPrivateKey.pem -out PrivateKey.pem Pour convertir un ensemble de certificats de PKCS#12 (PFX) en PEM Utilisez la commande OpenSSL pkcs12, comme dans l'exemple suivant. Dans la commande suivante, remplacez CertificateBundle.p12 par le nom du fichier qui contient votre ensemble de certificats codé PKCS#12. Remplacez CertificateBundle.pem par le nom souhaité du fichier de sortie devant contenir l'ensemble de certificats codé PEM. $ openssl pkcs12 -in CertificateBundle.p12 -out CertificateBundle.pem nodes Pour convertir un ensemble de certificats de PKCS#7 en PEM Utilisez la commande OpenSSL pkcs7, comme dans l'exemple suivant. Dans la commande suivante, remplacez CertificateBundle.p7b par le nom du fichier qui contient votre ensemble de certificats codé PKCS#7. Remplacez CertificateBundle.pem par le nom souhaité du fichier de sortie devant contenir l'ensemble de certificats codé PEM. $ openssl pkcs7 -in CertificateBundle.p7b -print_certs out CertificateBundle.pem Version 1.0 28 AWS Certificate Manager Guide de l'utilisateur Restrictions liées aux balises Balisage des certificats AWS Certificate Manager Une balise est une étiquette que vous pouvez attribuer à un certificat ACM. Chaque balise se compose d'une clé et d'une valeur. Vous pouvez utiliser la console AWS Certificate Manager, l'AWS Command Line Interface (AWS CLI) ou l'API ACM pour ajouter, afficher ou supprimer des balises pour les certificats ACM. Vous pouvez choisir les balises à afficher dans la console ACM. Vous pouvez créer des balises personnalisées qui répondent à vos besoins. Par exemple, vous pouvez baliser plusieurs certificats ACM avec une balise Environment = Prod ou Environment = Beta pour identifier l'environnement auquel est destiné chaque certificat ACM. La liste suivante contient quelques exemples supplémentaires d'autres balises personnalisées : • Admin = Alice • Purpose = Website • Protocol = TLS • Registrar = Route53 D'autres ressources AWS prennent également en charge le balisage. Vous pouvez donc attribuer la même balise à différentes ressources pour indiquer si ces ressources sont liées. Par exemple, vous pouvez attribuer une balise Website = example.com au certificat ACM, à l’équilibreur de charge et à d'autres ressources utilisées pour votre site Web example.com. Rubriques • Restrictions liées aux balises (p. 29) • Gestion des balises (p. 30) Restrictions liées aux balises Les restrictions de base suivantes s'appliquent aux balises des certificats ACM : • Le nombre maximal de balises par certificat ACM est de 50. • La longueur maximale d'une clé de balise est de 127 caractères. • La longueur maximale d'une valeur de balise est de 255 caractères. • Les clés et valeurs de balise sont sensibles à la casse. Version 1.0 29 AWS Certificate Manager Guide de l'utilisateur Gestion des balises • Le préfixe aws: est réservé à AWS. Vous ne pouvez pas ajouter, modifier ou supprimer des balises dont la clé commence par aws:. Les balises avec le préfixe aws: ne sont pas comptabilisées en fonction de la limite de balises par ressource. • Si vous prévoyez d'utiliser votre schéma de balisage sur plusieurs services et ressources, n'oubliez pas que d'autres services peuvent avoir d'autres restrictions concernant les caractères autorisés. Reportez-vous à la documentation correspondant à ce service. • Les balises du certificat ACM ne peuvent pas être utilisées dans les Groupes de ressources et l'Editeur de balises de la AWS Management Console. Gestion des balises Vous pouvez ajouter, modifier et supprimer des balises à l'aide d'AWS Management Console, de l'AWS Command Line Interface ou de l'API AWS Certificate Manager. Gestion des balises (console) Vous pouvez utiliser la AWS Management Console pour ajouter, supprimer ou modifier des balises. Vous pouvez également afficher des balises dans les colonnes. Ajout d'une balise (console) Utilisez la procédure suivante pour ajouter des balises à l'aide de la console ACM. Pour ajouter une balise à un certificat (console) 1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Certificate Manager à l'adresse https://console.aws.amazon.com/acm. 2. Choisissez la flèche en regard du certificat que vous voulez baliser. 3. Dans le volet des détails, faites défiler jusqu'à Tags. 4. Choisissez Edit et Add Tag. 5. Saisissez une clé et une valeur pour la balise. 6. Choisissez Save. Suppression d'une balise (console) Utilisez la procédure suivante pour supprimer des balises à l'aide de la console ACM. Pour supprimer une balise (console) 1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Certificate Manager à l'adresse https://console.aws.amazon.com/acm. 2. Choisissez la flèche en regard du certificat contenant une balise que vous voulez supprimer. 3. Dans le volet des détails, faites défiler jusqu'à Tags. 4. Choisissez Edit. 5. Choisissez le signe X en regard de la balise que vous voulez supprimer. 6. Choisissez Save. Modification d'une balise (console) Utilisez la procédure suivante pour modifier des balises à l'aide de la console ACM. Version 1.0 30 AWS Certificate Manager Guide de l'utilisateur Gestion des balises (AWS Command Line Interface) Pour modifier une balise (console) 1. 2. Connectez-vous à la AWS Management Console et ouvrez la console AWS Certificate Manager à l'adresse https://console.aws.amazon.com/acm. Choisissez la flèche en regard du certificat que vous voulez modifier. 3. 4. Dans le volet des détails, faites défiler jusqu'à Tags. Choisissez Edit. 5. Modifiez la clé ou la valeur de la balise. 6. Choisissez Save. Affichage des balises en colonnes (console) Utilisez la procédure suivante pour afficher les balises en colonnes dans la console ACM. Pour afficher les balises en colonnes (console) 1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Certificate Manager à l'adresse https://console.aws.amazon.com/acm. 2. Choisissez les balises que vous voulez afficher sous forme de colonnes en choisissant l'icône 3. d'engrenage dans le coin supérieur droit de la console. Activez la case à cocher en regard de la balise que vous voulez afficher dans une colonne. Gestion des balises (AWS Command Line Interface) Consultez les rubriques suivantes pour apprendre à ajouter, répertorier et supprimer des balises à l'aide de l'AWS CLI. • add-tags-to-certificate • list-tags-for-certificate • remove-tags-from-certificate Gestion des balises (API AWS Certificate Manager) Consultez les rubriques suivantes pour apprendre à ajouter, répertorier et supprimer des balises à l'aide de l'API. • AddTagsToCertificate • ListTagsForCertificate • RemoveTagsFromCertificate Version 1.0 31 AWS Certificate Manager Guide de l'utilisateur Stratégies gérées Autorisations et stratégies AWS Certificate Manager (ACM) utilise AWS Identity and Access Management (IAM) pour gérer les autorisations utilisateur. Les rubriques suivantes constituent une brève présentation qui explique comment utiliser IAM dans ACM. Pour obtenir une description plus complète d'IAM, consultez le Guide de l'utilisateur AWS Identity and Access Management. Rubriques • Stratégies gérées (p. 32) • Stratégies en ligne (p. 33) • Stratégies des ressources intégrées (p. 36) Stratégies gérées Les stratégies gérées sont des stratégies autonomes que vous pouvez lier à plusieurs utilisateurs, groupes et rôles de votre compte AWS. Les stratégies gérées par AWS suivantes sont disponibles pour ACM. Pour plus d'informations sur la liaison de stratégies gérées à un utilisateur, un groupe ou un rôle, consultez Utilisation des stratégies gérées dans le IAM Guide de l'utilisateur. Rubriques • AWSCertificateManagerReadOnly (p. 32) • AWSCertificateManagerFullAccess (p. 33) • Liaison d'une stratégie gérée à l'aide d'AWS Management Console (p. 33) AWSCertificateManagerReadOnly Cette stratégie fournit un accès en lecture seule aux certificats ACM. Elle permet aux utilisateurs de décrire des certificats ACM, de les répertorier sous forme de liste et de les extraire. { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "acm:DescribeCertificate", Version 1.0 32 AWS Certificate Manager Guide de l'utilisateur AWSCertificateManagerFullAccess "acm:ListCertificates", "acm:GetCertificate", "acm:ListTagsForCertificate" ], "Resource": "*" } } Pour afficher cette stratégie gérée par AWS dans la console, accédez à https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ AWSCertificateManagerReadOnly. AWSCertificateManagerFullAccess Cette stratégie fournit un accès complet à toutes les actions et ressources ACM, et inclut toutes les autorisations qui sont admises dans le cadre de la stratégie AWSCertificateManagerReadOnly. { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["acm:*"], "Resource": "*" }] } Pour afficher cette stratégie gérée par AWS dans la console, accédez à https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ AWSCertificateManagerFullAccess. Liaison d'une stratégie gérée à l'aide d'AWS Management Console Pour utiliser une stratégie gérée, l'utilisateur disposant de privilèges administratifs doit la lier à un utilisateur, un rôle ou un groupe. La procédure suivante explique la manière de procéder dans la console de gestion IAM. 1. Connectez-vous à la console Identity and Access Management (IAM) à l'adresse https:// console.aws.amazon.com/iam/. 2. Dans le volet de navigation, choisissez Policies. 3. Dans la liste des stratégies, sélectionnez la case à cocher en regard du nom de la stratégie à attacher. Vous pouvez utiliser le menu Filter et la zone Search pour filtrer la liste de stratégies. 4. Choisissez Policy Actions, puis choisissez Attach. 5. Sélectionnez l'utilisateur, le groupe ou le rôle auquel lier la stratégie. Vous pouvez utiliser le menu Filter et la zone Search pour filtrer la liste des entités mandataires. Après avoir sélectionné les entités mandataires auxquelles attacher la stratégie, choisissez Attach Policy. Stratégies en ligne Les stratégies en ligne sont des stratégies que vous créez, gérez et intégrez directement à un utilisateur, un groupe ou un rôle spécifique. Les exemples de stratégies suivants vous montrent comment attribuer des autorisations pour effectuer des actions ACM. Pour plus d'informations sur Version 1.0 33 AWS Certificate Manager Guide de l'utilisateur Liste des certificats la liaison de stratégies en ligne, consultez Utilisation de stratégies en ligne dans le IAM Guide de l'utilisateur. Rubriques • Liste des certificats (p. 34) • Récupération d'un certificat (p. 34) • Suppression d'un certificat (p. 34) • Accès en lecture seule à ACM (p. 35) • Accès complet à ACM (p. 35) • Accès administrateur à toutes les ressources AWS (p. 36) Liste des certificats La stratégie suivante permet à un utilisateur d'établir la liste de tous les certificats ACM figurant dans le compte de l'utilisateur. { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "acm:ListCertificates", "Resource": "*" }] } Note Cette autorisation est nécessaire pour que les certificats ACM apparaissent dans les consoles Elastic Load Balancing et CloudFront. Récupération d'un certificat La stratégie suivante permet à un utilisateur d'extraire un certificat ACM spécifique. { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "acm:GetCertificate", "Resource": "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" } } Suppression d'un certificat La stratégie suivante permet à un utilisateur de supprimer un certificat ACM spécifique. { "Version": "2012-10-17", "Statement": { Version 1.0 34 AWS Certificate Manager Guide de l'utilisateur Accès en lecture seule à ACM "Effect": "Allow", "Action": "acm:DeleteCertificate", "Resource": "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" } } Accès en lecture seule à ACM La stratégie suivante permet à un utilisateur de décrire et répertorier un certificat ACM, et d'extraire le certificat ACM et la chaîne de certificats. { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "acm:DescribeCertificate", "acm:ListCertificates", "acm:GetCertificate", "acm:ListTagsForCertificate" ], "Resource": "*" } } Note Cette stratégie est disponible sous forme d'une stratégie gérée par AWS dans la AWS Management Console. Pour plus d'informations, consultez AWSCertificateManagerReadOnly (p. 32). Pour afficher la stratégie gérée dans la console, accédez à https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ AWSCertificateManagerReadOnly. Accès complet à ACM La stratégie suivante permet à un utilisateur d'effectuer une action ACM. { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["acm:*"], "Resource": "*" }] } Note Cette stratégie est disponible sous forme d'une stratégie gérée par AWS dans la AWS Management Console. Pour plus d'informations, consultez AWSCertificateManagerFullAccess (p. 33). Pour afficher la stratégie gérée dans la console, accédez à https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ AWSCertificateManagerFullAccess. Version 1.0 35 AWS Certificate Manager Guide de l'utilisateur Accès administrateur à toutes les ressources AWS Accès administrateur à toutes les ressources AWS La stratégie suivante permet à un utilisateur d'effectuer une action sur une ressource AWS. { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "*", "Resource": "*" }] } Note Cette stratégie est disponible sous forme d'une stratégie gérée par AWS dans la AWS Management Console. Pour afficher la stratégie gérée dans la console, accédez à https:// console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess. Stratégies des ressources intégrées Les rubriques suivantes expliquent comment fournir un accès IAM aux utilisateurs, aux groupes et aux rôles pour les services intégrés à ACM. Exemples de stratégies IAM pour Elastic Load Balancing Pour plus d'informations et des exemples de stratégies détaillant comment accorder des autorisations IAM aux utilisateurs et groupes Elastic Load Balancing, consultez Exemples de stratégies IAM pour Elastic Load Balancing. Exemples de stratégies IAM pour Amazon CloudFront Pour plus d'informations et des exemples de stratégies détaillant comment accorder des autorisations IAM à des ressources CloudFront, consultez Utilisation d'IAM pour contrôler l'accès aux ressources CloudFront. Version 1.0 36 AWS Certificate Manager Guide de l'utilisateur Journalisation des appels d'API ACM Utilisation de AWS CloudTrail Vous pouvez utiliser CloudTrail pour enregistrer les appels API qui sont effectués par AWS Certificate Manager et les services intégrés à ACM comme indiqué dans les rubriques suivantes. Rubriques • Journalisation des appels d'API AWS Certificate Manager avec AWS CloudTrail (p. 37) • Journalisation des appels d'API liés à ACM (p. 47) Journalisation des appels d'API AWS Certificate Manager avec AWS CloudTrail AWS Certificate Manager (ACM) est intégré à AWS CloudTrail, un service qui capture les appels d'API, transmet les fichiers journaux à un compartiment Amazon Simple Storage Service (Amazon S3) que vous spécifiez, et conserve l'historique des appels d'API. CloudTrail capture les appels d'API à partir de la console ou de l'interface de ligne de commande AWS Certificate Manager, ou depuis le code. Les informations collectées par CloudTrail vous permettent de déterminer quelle demande a été envoyée à ACM, l'adresse IP source à partir de laquelle la demande a été effectuée, qui a effectué la demande, quand, etc. Pour en savoir plus sur CloudTrail, y compris la façon de le configurer et de l'activer, consultez le Guide de l'utilisateur AWS CloudTrail. Lorsque vous activez la journalisation CloudTrail dans votre compte AWS, les appels d'API effectués pour certaines actions ACM font l'objet d'un suivi dans les fichiers journaux CloudTrail. Les enregistrements ACM sont écrits avec d'autres enregistrements de service AWS. CloudTrail détermine quand créer un fichier journal et y consigner des données en fonction d'une période et d'une taille de fichier. Les actions ACM suivantes sont prises en charge : • AddTagsToCertificate • DeleteCertificate Version 1.0 37 AWS Certificate Manager Guide de l'utilisateur Journalisation des appels d'API ACM • DeleteCertificate • DescribeCertificate • GetCertificate • ImportCertificate • ListCertificates • ListTagsForCertificate • RemoveTagsFromCertificate • RequestCertificate • ResendValidationEmail Chaque entrée du journal contient des informations sur la personne qui a généré la demande. Les informations d'identité d'utilisateur figurant dans l'entrée de journal vous aident à déterminer si la demande a été effectuée au moyen d'informations d'identification racine ou d'utilisateur IAM, au moyen d'informations d'identification de sécurité temporaires pour un rôle ou un utilisateur fédéré, ou par un autre service AWS. Pour plus d'informations, consultez la section Elément userIdentity CloudTrail. Vous pouvez stocker vos fichiers journaux dans votre compartiment aussi longtemps que vous le souhaitez, mais vous pouvez également définir des règles de cycle de vie Amazon S3 pour archiver ou supprimer automatiquement les fichiers journaux. Par défaut, vos fichiers journaux sont chiffrés à l'aide du chiffrement côté serveur (SSE) de Amazon S3. Vous pouvez décider d'utiliser CloudTrail pour publier des notifications Amazon SNS lorsque de nouveaux fichiers journaux sont fournis, si vous voulez effectuer une action rapide lors de la livraison des journaux. Pour plus d'informations, consultez Configuration des notifications Amazon SNS pour CloudTrail dans le Guide de l'utilisateur AWS CloudTrail. Vous pouvez également regrouper des fichiers journaux AWS Certificate Manager provenant de plusieurs régions AWS et de plusieurs comptes AWS dans un compartiment Amazon S3 unique. Pour en savoir plus, consultez Recevoir les fichiers journaux de CloudTrail de plusieurs régions et Recevoir les fichiers CloudTrail de plusieurs comptes . Les fichiers journaux CloudTrail contiennent une ou plusieurs entrées de journal, et chaque entrée répertorie plusieurs événements au format JSON. Une entrée de journal représente une demande individuelle à partir de n'importe quelle source et comprend des informations sur l'action demandée, sur la date et l'heure de l'action, sur les paramètres de la demande, etc. Les entrées de journal ne sont garanties dans aucun ordre particulier. Cela signifie qu'il ne s'agit pas d'une série ordonnée d'appels d'API publics. Pour plus d'informations sur les champs qui constituent une entrée de journal, consultez la rubrique Guide de référence des événements Cloudtrail. Pour obtenir des exemples d'entrées ACM CloudTrail possibles, consultez les rubriques suivantes. Rubriques • Ajout de balises à un certificat (p. 39) • Suppression d'un certificat (p. 39) • Description d'un certificat (p. 40) • Récupération d'un certificat (p. 41) • Importation d'un certificat (p. 42) • Liste des certificats (p. 43) • Etablissement d'une liste de balises pour un certificat (p. 44) • Suppression de balises dans un certificat (p. 45) • Demande de certificat (p. 45) Version 1.0 38 AWS Certificate Manager Guide de l'utilisateur Ajout de balises • Renvoi d'un e-mail de validation (p. 46) Ajout de balises à un certificat L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API AddTagsToCertificate. { Records: [{ eventVersion: "1.04", userIdentity: { type: "IAMUser", principalId: "AIDACKCEVSQ6C2EXAMPLE", arn: "arn:aws:iam::123456789012:user/Alice", accountId: "123456789012", accessKeyId: "AKIAIOSFODNN7EXAMPLE", userName: "Alice" }, eventTime: "2016-04-06T13:53:53Z", eventSource: "acm.amazonaws.com", eventName: "AddTagsToCertificate", awsRegion: "us-east-1", sourceIPAddress: "192.0.2.0", userAgent: "aws-cli/1.10.16", requestParameters: { tags: [{ value: "Alice", key: "Admin" }], certificateArn: "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, responseElements: null, requestID: "ffd7dd1b-fbfe-11e5-ba7b-5f4e988901f9", eventID: "4e7b10bb-7010-4e60-8376-0cac3bc860a5", eventType: "AwsApiCall", recipientAccountId: "123456789012" }] } Suppression d'un certificat L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API DeleteCertificate. { "Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" Version 1.0 39 AWS Certificate Manager Guide de l'utilisateur Description d'un certificat }, "eventTime": "2016-03-18T00:00:26Z", "eventSource": "acm.amazonaws.com", "eventName": "DeleteCertificate", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "certificateArn": "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, "responseElements": null, "requestID": "6b0f5bb9-ec9c-11e5-a28b-51e7e3169e0f", "eventID": "08f18f8a-a827-4924-b864-afaf98517793", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }] } Description d'un certificat L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API DescribeCertificate. Note Le journal CloudTrail pour l'action DescribeCertificate n'affiche pas d'informations sur le certificat ACM que vous spécifiez. Vous pouvez afficher les informations sur le certificat en utilisant la console, l'AWS Command Line Interface ou l'API DescribeCertificate. { "Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-03-18T00:00:42Z", "eventSource": "acm.amazonaws.com", "eventName": "DescribeCertificate", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "certificateArn": "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, "responseElements": null, "requestID": "74b91d83-ec9c-11e5-ac34-d1e4dfe1a11b", "eventID": "7779b6da-75c2-4994-b8c1-af3ad47b518a", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }] Version 1.0 40 AWS Certificate Manager Guide de l'utilisateur Récupération d'un certificat } Récupération d'un certificat L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API GetCertificate. { "Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-03-18T00:00:41Z", "eventSource": "acm.amazonaws.com", "eventName": "GetCertificate", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "certificateArn": "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, "responseElements": { "certificateChain": "-----BEGIN CERTIFICATE----MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6 b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ 21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4 nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=\n-----END CERTIFICATE-----", "certificate": "-----BEGIN CERTIFICATE----MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6 b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ 21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4 nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb Version 1.0 41 AWS Certificate Manager Guide de l'utilisateur Importation d'un certificat FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=-----END CERTIFICATE-----" }, "requestID": "744dd891-ec9c-11e5-ac34-d1e4dfe1a11b", "eventID": "7aa4f909-00dd-478a-9a00-b2709bcad2bb", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }] } Importation d'un certificat L'exemple suivant illustre l'entrée de journal CloudTrail qui enregistre un appel à l'opération d'API ACM ImportCertificate. { "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-10-04T16:01:30Z", "eventSource": "acm.amazonaws.com", "eventName": "ImportCertificate", "awsRegion": "ap-southeast-2", "sourceIPAddress": "54.240.193.129", "userAgent": "Coral/Netty", "requestParameters": { "privateKey": { "hb": [ byte, byte, byte, ... ], "offset": 0, "isReadOnly": false, "bigEndian": true, "nativeByteOrder": false, "mark": -1, "position": 0, "limit": 1674, "capacity": 1674, "address": 0 }, "certificateChain": { "hb": [ byte, byte, byte, ... ], "offset": 0, Version 1.0 42 AWS Certificate Manager Guide de l'utilisateur Liste des certificats "isReadOnly": false, "bigEndian": true, "nativeByteOrder": false, "mark": -1, "position": 0, "limit": 2105, "capacity": 2105, "address": 0 }, "certificate": { "hb": [ byte, byte, byte, ... ], "offset": 0, "isReadOnly": false, "bigEndian": true, "nativeByteOrder": false, "mark": -1, "position": 0, "limit": 2503, "capacity": 2503, "address": 0 } }, "responseElements": { "certificateArn": "arn:aws:acm:apsoutheast-2:111122223333:certificate/6ae06649-ea82-4b58-90ee-dc05870d7e99" }, "requestID": "cf1f3db7-8a4b-11e6-88c8-196af94bb7be", "eventID": "fb443118-bfaa-4c90-95c1-beef21e07f8e", "eventType": "AwsApiCall", "recipientAccountId": "111122223333" } Liste des certificats L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API ListCertificates. Note Le journal CloudTrail de l'action ListCertificates n'affiche pas vos certificats ACM. Vous pouvez afficher la liste des certificats à l'aide de la console, de l'AWS Command Line Interface ou de l'API ListCertificates. { "Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", Version 1.0 43 AWS Certificate Manager Guide de l'utilisateur Etablissement d'une liste de balises "userName": "Alice" }, "eventTime": "2016-03-18T00:00:43Z", "eventSource": "acm.amazonaws.com", "eventName": "ListCertificates", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "maxItems": 1000, "certificateStatuses": ["ISSUED"] }, "responseElements": null, "requestID": "74c99844-ec9c-11e5-ac34-d1e4dfe1a11b", "eventID": "cdfe1051-88aa-4aa3-8c33-a325270bff21", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }] } Etablissement d'une liste de balises pour un certificat L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API ListTagsForCertificate. Note Le journal CloudTrail de l'action ListTagsForCertificate n'affiche pas vos certificats. Vous pouvez afficher la liste des balises à l'aide de la console, de l'AWS Command Line Interface ou de l'API ListTagsForCertificate. { Records: [{ eventVersion: "1.04", userIdentity: { type: "IAMUser", principalId: "AIDACKCEVSQ6C2EXAMPLE", arn: "arn:aws:iam::123456789012:user/Alice", accountId: "123456789012", accessKeyId: "AKIAIOSFODNN7EXAMPLE", userName: "Alice" }, eventTime: "2016-04-06T13:30:11Z", eventSource: "acm.amazonaws.com", eventName: "ListTagsForCertificate", awsRegion: "us-east-1", sourceIPAddress: "192.0.2.0", userAgent: "aws-cli/1.10.16", requestParameters: { certificateArn: "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, responseElements: null, requestID: "b010767f-fbfb-11e5-b596-79e9a97a2544", eventID: "32181be6-a4a0-48d3-8014-c0d972b5163b", Version 1.0 44 AWS Certificate Manager Guide de l'utilisateur Suppression de balises eventType: "AwsApiCall", recipientAccountId: "123456789012" }] } Suppression de balises dans un certificat L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API RemoveTagsFromCertificate. { Records: [{ eventVersion: "1.04", userIdentity: { type: "IAMUser", principalId: "AIDACKCEVSQ6C2EXAMPLE", arn: "arn:aws:iam::123456789012:user/Alice", accountId: "123456789012", accessKeyId: "AKIAIOSFODNN7EXAMPLE", userName: "Alice" }, eventTime: "2016-04-06T14:10:01Z", eventSource: "acm.amazonaws.com", eventName: "RemoveTagsFromCertificate", awsRegion: "us-east-1", sourceIPAddress: "192.0.2.0", userAgent: "aws-cli/1.10.16", requestParameters: { certificateArn: "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012", tags: [{ value: "Bob", key: "Admin" }] }, responseElements: null, requestID: "40ded461-fc01-11e5-a747-85804766d6c9", eventID: "0cfa142e-ef74-4b21-9515-47197780c424", eventType: "AwsApiCall", recipientAccountId: "123456789012" }] } Demande de certificat L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API RequestCertificate. { "Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", Version 1.0 45 AWS Certificate Manager Guide de l'utilisateur Renvoi d'un e-mail de validation "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-03-18T00:00:49Z", "eventSource": "acm.amazonaws.com", "eventName": "RequestCertificate", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "subjectAlternativeNames": ["example.net"], "domainName": "example.com", "domainValidationOptions": [{ "domainName": "example.com", "validationDomain": "example.com" }, { "domainName": "example.net", "validationDomain": "example.net" }], "idempotencyToken": "8186023d89681c3ad5" }, "responseElements": { "certificateArn": "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, "requestID": "77dacef3-ec9c-11e5-ac34-d1e4dfe1a11b", "eventID": "a4954cdb-8f38-44c7-8927-a38ad4be3ac8", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }] } Renvoi d'un e-mail de validation L'exemple CloudTrail suivant illustre les résultats d'un appel à l'API ResendValidationEmail. { "Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-03-17T23:58:25Z", "eventSource": "acm.amazonaws.com", "eventName": "ResendValidationEmail", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "domain": "example.com", Version 1.0 46 AWS Certificate Manager Guide de l'utilisateur Journalisation des appels d'API liés à ACM "certificateArn": "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012", "validationDomain": "example.com" }, "responseElements": null, "requestID": "23760b88-ec9c-11e5-b6f4-cb861a6f0a28", "eventID": "41c11b06-ca91-4c1c-8c61-af349ea8bab8", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }] } Journalisation des appels d'API liés à ACM Vous pouvez utiliser CloudTrail pour auditer les appels d'API effectués par les services intégrés à ACM. Pour plus d'informations sur l'utilisation de CloudTrail, consultez le Guide de l'utilisateur AWS CloudTrail. Les exemples suivants illustrent les types de journaux qui peuvent être générés en fonction des ressources AWS sur lesquelles vous mettez en service le certificat ACM. Rubriques • Création d'un équilibreur de charge (p. 47) • Enregistrement d'une Instance Amazon EC2 avec un équilibreur de charge (p. 48) • Déchiffrement d'une clé privée (p. 49) • Déchiffrement d'une clé privée (p. 50) Création d'un équilibreur de charge L'exemple suivant montre un appel à la fonction CreateLoadBalancer effectué par un utilisateur IAM nommé Alice. Le nom de l’équilibreur de charge est TestLinuxDefault, et l’écouteur est créé à l'aide d'un certificat ACM. { "eventVersion": "1.03", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-01-01T21:10:36Z", "eventSource": "elasticloadbalancing.amazonaws.com", "eventName": "CreateLoadBalancer", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0/24", "userAgent": "aws-cli/1.9.15", "requestParameters": { "availabilityZones": ["us-east-1b"], "loadBalancerName": "LinuxTest", "listeners": [{ "sSLCertificateId": "arn:aws:acm:useast-1:111122223333:certificate/12345678-1234-1234-1234-123456789012", Version 1.0 47 AWS Certificate Manager Guide de l'utilisateur Enregistrement d'Amazon EC2 "protocol": "HTTPS", "loadBalancerPort": 443, "instanceProtocol": "HTTP", "instancePort": 80 }] }, "responseElements": { "dNSName": "LinuxTest-1234567890.us-east-1.elb.amazonaws.com" }, "requestID": "19669c3b-b0cc-11e5-85b2-57397210a2e5", "eventID": "5d6c00c9-a9b8-46ef-9f3b-4589f5be63f7", "eventType": "AwsApiCall", "recipientAccountId": "111122223333" } Enregistrement d'une Instance Amazon EC2 avec un équilibreur de charge Lorsque vous mettez en service votre site Web ou votre application sur une instance Amazon Elastic Compute Cloud (Amazon EC2), l’équilibreur de charge doit être informé de cette instance. Cette action peut s'effectuer via la console Elastic Load Balancing ou l'AWS Command Line Interface. L'exemple suivant illustre un appel de RegisterInstancesWithLoadBalancer pour un équilibreur de charge nommé LinuxTest sur le compte AWS 123456789012. { "eventVersion": "1.03", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/ALice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2016-01-01T19:35:52Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2016-01-01T21:11:45Z", "eventSource": "elasticloadbalancing.amazonaws.com", "eventName": "RegisterInstancesWithLoadBalancer", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0/24", "userAgent": "signin.amazonaws.com", "requestParameters": { "loadBalancerName": "LinuxTest", "instances": [{ "instanceId": "i-c67f4e78" }] }, "responseElements": { "instances": [{ Version 1.0 48 AWS Certificate Manager Guide de l'utilisateur Déchiffrement d'une clé privée "instanceId": "i-c67f4e78" }] }, "requestID": "438b07dc-b0cc-11e5-8afb-cda7ba020551", "eventID": "9f284ca6-cbe5-42a1-8251-4f0e6b5739d6", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" } Déchiffrement d'une clé privée L'exemple suivant illustre un appel à Encrypt qui chiffre la clé privée associée à un certificat ACM. Le chiffrement est effectué dans AWS. { "Records": [ { "eventVersion": "1.03", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/acm", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "acm" }, "eventTime": "2016-01-05T18:36:29Z", "eventSource": "kms.amazonaws.com", "eventName": "Encrypt", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "aws-internal", "requestParameters": { "keyId": "arn:aws:kms:us-east-1:123456789012:alias/aws/acm", "encryptionContext": { "aws:acm:arn": "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" } }, "responseElements": null, "requestID": "3c417351-b3db-11e5-9a24-7d9457362fcc", "eventID": "1794fe70-796a-45f5-811b-6584948f24ac", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:useast-1:123456789012:key/87654321-4321-4321-4321-210987654321", "accountId": "123456789012" }], "eventType": "AwsServiceEvent", "recipientAccountId": "123456789012" }] } Version 1.0 49 AWS Certificate Manager Guide de l'utilisateur Déchiffrement d'une clé privée Déchiffrement d'une clé privée L'exemple suivant illustre un appel à Decrypt qui déchiffre la clé privée associée à un certificat ACM. Le déchiffrement s'effectue dans AWS et la clé déchiffrée ne quitte jamais AWS. { "eventVersion": "1.03", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE:1aba0dc8b3a728d6998c234a99178eff", "arn": "arn:aws:sts::111122223333:assumed-role/ DecryptACMCertificate/1aba0dc8b3a728d6998c234a99178eff", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2016-01-01T21:13:28Z" }, "sessionIssuer": { "type": "Role", "principalId": "APKAEIBAERJR2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/ DecryptACMCertificate", "accountId": "111122223333", "userName": "DecryptACMCertificate" } } }, "eventTime": "2016-01-01T21:13:28Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "aws-internal/3", "requestParameters": { "encryptionContext": { "aws:elasticloadbalancing:arn": "arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/ LinuxTest", "aws:acm:arn": "arn:aws:acm:useast-1:123456789012:certificate/87654321-4321-4321-4321-210987654321" } }, "responseElements": null, "requestID": "809a70ff-b0cc-11e5-8f42-c7fdf1cb6e6a", "eventID": "7f89f7a7-baff-4802-8a88-851488607fb9", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:useast-1:123456789012:key/12345678-1234-1234-1234-123456789012", "accountId": "123456789012" }], "eventType": "AwsServiceEvent", "recipientAccountId": "123456789012" Version 1.0 50 AWS Certificate Manager Guide de l'utilisateur Déchiffrement d'une clé privée } Version 1.0 51 AWS Certificate Manager Guide de l'utilisateur DeleteCertificate Utilisation de l'API ACM Vous pouvez utiliser l'API AWS Certificate Manager pour interagir avec le service par programmation en envoyant des demandes HTTP. Pour plus d'informations, consultez la Référence d'API AWS Certificate Manager. En plus de l'API Web (ou de l'API HTTP), vous pouvez utiliser les kits SDK AWS et les outils de ligne de commande pour interagir avec ACM et d'autres services. Pour plus d'informations, consultez Outils pour Amazon Web Services. Les pages suivantes vous montrent comment utiliser l'un des SDK AWS, le AWS SDK for Java, pour effectuer les opérations disponibles dans l'API AWS Certificate Manager. Rubriques • Suppression d'un certificat (p. 52) • Description d'un certificat (p. 53) • Obtention d'une chaîne de certificats (p. 55) • Liste des certificats ACM (p. 56) • Demande de certificat (p. 57) • Renvoi d'un e-mail de validation (p. 58) Suppression d'un certificat L'exemple suivant montre comment utiliser la fonction DeleteCertificate. package com.amazonaws.samples; import com.amazonaws.regions.Region; import com.amazonaws.regions.Regions; import com.amazonaws.services.certificatemanager.AWSCertificateManagerClient; import com.amazonaws.services.certificatemanager.AWSCertificateManager; import com.amazonaws.services.certificatemanager.model.DeleteCertificateRequest; import com.amazonaws.auth.profile.ProfileCredentialsProvider; import com.amazonaws.auth.AWSCredentials; import com.amazonaws.AmazonClientException; /** * This sample demonstrates how to use the DeleteCertificate function in the * AWS Certificate Manager service. This function deletes the certificate Version 1.0 52 AWS Certificate Manager Guide de l'utilisateur DescribeCertificate * specified by its ARN. * * Input Parameters: * CertificateArn - String that contains the Amazon Resource Name (ARN) of * the certificate to be deleted. */ public class AWSCertificateManagerSample { public static void main(String [] args) throws Exception { // Retrieve the user's access key ID and secret access key. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception e) { throw new AmazonClientException( "Cannot load the credentials from the credential profiles file. " + "Please make sure that your credentials file is at the correct " + "location (~/.aws/credentials in Linux or C:\\Users\ \your_user_name\\.aws" + "in Windows), and is in a valid format.", e); } // Create an AWSCertificateManager client and set the region. AWSCertificateManager acm = new AWSCertificateManagerClient(credentials); Region usEast1 = Region.getRegion(Regions.US_EAST_1); acm.setRegion(usEast1); // Specify the certificate ARN and call the deleteCertificate() function. String certARN = "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-12345678"; DeleteCertificateRequest req = new DeleteCertificateRequest().withCertificateArn(certARN); acm.deleteCertificate(req); } } Description d'un certificat L'exemple suivant montre comment utiliser la fonction DescribeCertificate. package com.amazonaws.samples; import com.amazonaws.regions.Region; import com.amazonaws.regions.Regions; import com.amazonaws.services.certificatemanager.AWSCertificateManagerClient; import com.amazonaws.services.certificatemanager.AWSCertificateManager; import com.amazonaws.services.certificatemanager.model.DescribeCertificateRequest; Version 1.0 53 AWS Certificate Manager Guide de l'utilisateur DescribeCertificate import com.amazonaws.services.certificatemanager.model.DescribeCertificateResult; import com.amazonaws.auth.profile.ProfileCredentialsProvider; import com.amazonaws.auth.AWSCredentials; import com.amazonaws.AmazonClientException; /** * This sample demonstrates how to use the DescribeCertificate function in the * AWS Certificate Manager service. This function returns a list of the fields * contained in the certificate specified by its ARN. * * Input Parameters: * CertificateArn - String that contains the Amazon Resource Name (ARN) for * the certificate. */ public class AWSCertificateManagerSample { public static void main(String [] args) throws Exception { // Retrieve the user's access key ID and secret access key. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception e) { throw new AmazonClientException( "Cannot load the credentials from the credential profiles file. " + "Please make sure that your credentials file is at the correct " + "location (~/.aws/credentials in Linux or C:\\Users\ \your_user_name\\.aws" + "in Windows), and is in a valid format.", e); } // Create an AWSCertificateManager client and set the region. AWSCertificateManager acm = new AWSCertificateManagerClient(credentials); Region usEast1 = Region.getRegion(Regions.US_EAST_1); acm.setRegion(usEast1); // Specify the certificate ARN and call the describeCertificate() function. String certARN = "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012"; DescribeCertificateRequest certRequest = new DescribeCertificateRequest().withCertificateArn(certARN); DescribeCertificateResult res = acm.describeCertificate(certRequest); System.out.println(res); } } Version 1.0 54 AWS Certificate Manager Guide de l'utilisateur GetCertificate Obtention d'une chaîne de certificats L'exemple suivant montre comment utiliser la fonction GetCertificate. package com.amazonaws.samples; import import import import import import import import import com.amazonaws.regions.Region; com.amazonaws.regions.Regions; com.amazonaws.services.certificatemanager.AWSCertificateManagerClient; com.amazonaws.services.certificatemanager.AWSCertificateManager; com.amazonaws.services.certificatemanager.model.GetCertificateRequest; com.amazonaws.services.certificatemanager.model.GetCertificateResult; com.amazonaws.auth.profile.ProfileCredentialsProvider; com.amazonaws.auth.AWSCredentials; com.amazonaws.AmazonClientException; /** * This sample demonstrates how to use the GetCertificate function in the * AWS Certificate Manager service. This function retrieves your SSL/TLS * certificate and certificate ARN. * * Input Parameters: * CertificateArn - String that contains the ARN of the certificate to * be retrieved. * */ public class AWSCertificateManagerSample { public static void main(String [] args) throws Exception { // Retrieve the user's access key ID and secret access key. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception e) { throw new AmazonClientException( "Cannot load the credentials from the credential profiles file. " + "Please make sure that your credentials file is at the correct " + "location (~/.aws/credentials in Linux or C:\\Users\ \your_user_name\\.aws" + "in Windows), and is in a valid format.", e); } // Create an AWSCertificateManager client and set the region. AWSCertificateManager acm = new AWSCertificateManagerClient(credentials); Region usEast1 = Region.getRegion(Regions.US_EAST_1); acm.setRegion(usEast1); // Specify the certificate ARN and call the getCertificate() function. String certARN = "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012"; Version 1.0 55 AWS Certificate Manager Guide de l'utilisateur Liste des certificats ACM GetCertificateRequest req = new GetCertificateRequest().withCertificateArn(certARN); GetCertificateResult res = acm.getCertificate(req); System.out.println(res); } } Liste des certificats ACM L'exemple suivant montre comment utiliser la fonction ListCertificates. package com.amazonaws.samples; import com.amazonaws.regions.Region; import com.amazonaws.regions.Regions; import com.amazonaws.services.certificatemanager.AWSCertificateManagerClient; import com.amazonaws.services.certificatemanager.AWSCertificateManager; import com.amazonaws.services.certificatemanager.model.ListCertificatesRequest; import com.amazonaws.services.certificatemanager.model.ListCertificatesResult; import com.amazonaws.auth.profile.ProfileCredentialsProvider; import com.amazonaws.auth.AWSCredentials; import com.amazonaws.AmazonClientException; /** * This sample demonstrates how to use the ListCertificates function in the * AWS Certificate Manager service. This function retrieves a list of your * certificate ARNS and their associated domain names. * * Input Parameters: - None * */ public class AWSCertificateManagerSample { public static void main(String [] args) throws Exception { // Retrieve the user's access key ID and secret access key. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception e) { throw new AmazonClientException( "Cannot load the credentials from the credential profiles file. " + "Please make sure that your credentials file is at the correct " + "location (~/.aws/credentials in Linux or C:\\Users\ \your_user_name\\.aws" + "in Windows), and is in a valid format.", e); } Version 1.0 56 AWS Certificate Manager Guide de l'utilisateur RequestCertificate // Create an AWSCertificateManager client and set the region. AWSCertificateManager acm = new AWSCertificateManagerClient(credentials); Region usEast1 = Region.getRegion(Regions.US_EAST_1); acm.setRegion(usEast1); // Call the listCertificates function. ListCertificatesResult res = acm.listCertificates(new ListCertificatesRequest()); System.out.println(res); } } Demande de certificat L'exemple suivant illustre comment utiliser la fonction DeleteCertificate. package com.amazonaws.samples; import com.amazonaws.regions.Region; import com.amazonaws.regions.Regions; import com.amazonaws.services.certificatemanager.AWSCertificateManagerClient; import com.amazonaws.services.certificatemanager.AWSCertificateManager; import com.amazonaws.services.certificatemanager.model.RequestCertificateRequest; import com.amazonaws.services.certificatemanager.model.RequestCertificateResult; import com.amazonaws.auth.profile.ProfileCredentialsProvider; import com.amazonaws.auth.AWSCredentials; import com.amazonaws.AmazonClientException; /** * This sample demonstrates how to use the RequestCertificate function in the * AWS Certificate Manager service. This function requests an ACM SSL/TLS * certificate for your AWS account. * * Input Parameters: * CertificateArn - String that contains the Amazon Resource Name (ARN) for * the certificate. */ public class AWSCertificateManagerSample { public static void main(String [] args) throws Exception { // Retrieve the user's access key ID and secret access key. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception e) { throw new AmazonClientException( Version 1.0 57 AWS Certificate Manager Guide de l'utilisateur ResendValidationEmail "Cannot load the credentials from the credential profiles file. " + "Please make sure that your credentials file is at the correct " + "location (~/.aws/credentials in Linux or C:\\Users\ \your_user_name\\.aws" + "in Windows), and is in a valid format.", e); } // Create an AWSCertificateManager client and set the region. AWSCertificateManager acm = new AWSCertificateManagerClient(credentials); Region usEast1 = Region.getRegion(Regions.US_EAST_1); acm.setRegion(usEast1); // Specify the arguments and call the requestCertificate() function. String domainName = "www.example.com"; String idempotencyToken = "1AqO5pTy"; String[] SAN = {"www.example.net"}; RequestCertificateRequest req = new RequestCertificateRequest().withDomainName(domainName).withIdempotencyToken(idempotencyToke RequestCertificateResult res = acm.requestCertificate(req); System.out.println(res); } } Renvoi d'un e-mail de validation L'exemple suivant montre comment utiliser la fonction ResendValidationEmail. package com.amazonaws.samples; import com.amazonaws.regions.Region; import com.amazonaws.regions.Regions; import com.amazonaws.services.certificatemanager.AWSCertificateManagerClient; import com.amazonaws.services.certificatemanager.AWSCertificateManager; import com.amazonaws.services.certificatemanager.model.ResendValidationEmailRequest; import com.amazonaws.auth.profile.ProfileCredentialsProvider; import com.amazonaws.auth.AWSCredentials; import com.amazonaws.AmazonClientException; /** * This sample demonstrates how to use the ResendValidationEmail function in the * AWS Certificate Manager service. This function resend the email that you can * use to validate. * * Input Parameters: * CertificateArn - String that contains the Amazon Resource Name (ARN) for * the certificate. Version 1.0 58 AWS Certificate Manager Guide de l'utilisateur ResendValidationEmail */ public class AWSCertificateManagerSample { public static void main(String [] args) throws Exception { // Retrieve the user's access key ID and secret access key. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception e) { throw new AmazonClientException( "Cannot load the credentials from the credential profiles file. " + "Please make sure that your credentials file is at the correct " + "location (~/.aws/credentials in Linux or C:\\Users\ \your_user_name\\.aws" + "in Windows), and is in a valid format.", e); } // Create an AWSCertificateManager client and set the region. AWSCertificateManager acm = new AWSCertificateManagerClient(credentials); Region usEast1 = Region.getRegion(Regions.US_EAST_1); acm.setRegion(usEast1); // Specify the input parameters and call the resendValidationEmail() function. String certARN = "arn:aws:acm:useast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012"; String domain = "example.com"; String validationDomain = "example.com"; ResendValidationEmailRequest req = new ResendValidationEmailRequest().withCertificateArn(certARN).withDomain(domain).withValidatio acm.resendValidationEmail(req); } } Version 1.0 59 AWS Certificate Manager Guide de l'utilisateur Sécurité de la clé privée ACM Lorsque vous demandez un certificat (p. 12), AWS Certificate Manager (ACM) génère une paire de clés publiques/privées. Pour les certificats importés (p. 25), vous générez la paire de clés. La clé publique fait partie du certificat. ACM stocke le certificat et sa clé privée correspondante, et utilise AWS Key Management Service (AWS KMS) pour aider à protéger la clé privée. Voici comment cela fonctionne : 1. La première fois que vous demandez ou importez un certificat dans une région AWS, ACM crée une clé principale client (CMK) gérée par AWS dans AWS KMS avec l'alias aws/acm. Cette clé CMK est unique dans chaque compte AWS et chaque région AWS. 2. ACM utilise cette clé CMK pour chiffrer la clé privée du certificat. ACM stocke uniquement une version chiffrée de la clé privée (ACM ne stocke pas la clé privée sous forme de texte brut). ACM utilise la même clé CMK pour chiffrer les clés privées pour tous les certificats d'un compte AWS spécifique et d'une région AWS spécifique. 3. Lorsque vous associez le certificat à un équilibreur de charge Elastic Load Balancing ou une distribution Amazon CloudFront, ACM envoie le certificat et la clé privée chiffrée à l'équilibreur de charge ou à la distribution. Vous créez également implicitement un octroi dans AWS KMS, qui autorise l'équilibreur de charge ou la distribution à utiliser la clé CMK dans AWS KMS pour déchiffrer la clé privée de ce certificat spécifique. Pour plus d'informations sur les octrois, consultez Utilisation d'octrois dans le AWS Key Management Service Developer Guide. 4. L'équilibreur de charge ou la distribution utilise la clé CMK dans AWS KMS pour déchiffrer la clé privée. L'équilibreur de charge ou la distribution utilise ensuite le certificat et la clé privée déchiffrée (texte brut) pour établir des canaux de communication sécurisés (sessions SSL/TLS) avec ses clients. 5. Lorsque le certificat est dissocié de l'équilibreur de charge ou de la distribution, l'octroi (créé à l'étape 3) est retiré. Cela signifie que l'équilibreur de charge ou la distribution ne peut plus utiliser la clé CMK dans AWS KMS pour déchiffrer la clé privée de ce certificat spécifique. Version 1.0 60 AWS Certificate Manager Guide de l'utilisateur Pas de réception d'e-mail de validation Dépannage Si vous rencontrez des problèmes lors de l'utilisation d'AWS Certificate Manager, consultez les informations suivantes. Rubriques • Pas de réception d'e-mail de validation (p. 61) • E-mail envoyé au sous-domaine (p. 62) • Délai d'attente de la demande de certificat dépassé (p. 62) • Échec de la demande de certificat (p. 63) • Validation non terminée (p. 64) Pas de réception d'e-mail de validation Lorsque vous demandez un certificat à ACM, l'e-mail de validation de domaine est envoyé aux trois adresses de contact spécifiées dans WHOIS et à cinq adresses administratives courantes. Pour plus d'informations, consultez Validation de la propriété du domaine (p. 13). Si vous rencontrez des problèmes de réception d'e-mail de validation, consultez les suggestions qui suivent. Où chercher l'e-mail L'e-mail de validation est envoyé aux adresses de contact répertoriées dans WHOIS et aux adresses administratives courantes du domaine. L'e-mail n'est pas envoyé au propriétaire du compte AWS, sauf si le propriétaire est également répertorié comme contact du domaine dans WHOIS. Consultez la liste des adresses e-mail qui s'affichent dans la console ACM (ou qui sont retournées par la CLI ou l'API) pour déterminer où vous devez rechercher l'e-mail de validation. Pour consulter la liste, cliquez sur l'icône en regard du nom de domaine dans la case Validation not complete. L'e-mail est marqué comme courrier indésirable Recherchez l'e-mail de validation dans votre dossier Courrier indésirable. Gmail trie automatiquement votre e-mail Si vous utilisez Gmail, l'e-mail de validation a peut-être été automatiquement trié dans les onglets Mises à jour ou Promotions. Le registre de domaine n'affiche pas d'informations sur le contact ou la protection de la confidentialité est activée Dans certains cas, l'inscrit du domaine, les contacts techniques et administratifs dans WHOIS ne sont peut-être pas disponibles publiquement, et AWS ne peut donc pas joindre ces contacts. Vous pouvez choisir de configurer votre registre pour qu'il répertorie votre adresse e-mail dans WHOIS, mais les registres ne prennent pas tous cette option en charge. Vous pouvez être contraint d'apporter la modification directement dans le registre de votre domaine. Dans d'autres Version 1.0 61 AWS Certificate Manager Guide de l'utilisateur E-mail envoyé au sous-domaine cas, les informations de contact du domaine utilisent peut-être une adresse confidentielle, telle que celles fournies via WhoisGuard ou PrivacyGuard. Pour les domaines achetés au service Amazon Route 53, la protection de la confidentialité est activée par défaut et votre adresse e-mail est mappée à une adresse e-mail whoisprivacyservice.org ou contact.gandi.net. Vérifiez que votre adresse e-mail d'inscrit figurant dans le fichier avec votre registre de domaine est à jour afin que l'e-mail envoyé à ces adresses e-mail masquées puisse être envoyé à une adresse e-mail que vous contrôlez. Si les coordonnées du contact d'e-mail pour votre domaine ne sont pas disponibles via WHOIS ou que l'e-mail envoyé aux coordonnées du contact n'atteint pas le propriétaire du domaine ou un représentant autorisé, nous vous recommandons de configurer votre domaine ou sousdomaine pour recevoir l'e-mail envoyé à une ou plusieurs adresses administratives courantes comprenant le préfixe admin@, administrator@, hostmaster@, webmaster@ et postmaster@ au nom de domaine demandé. Pour plus d'informations sur la configuration d'un d'e-mail pour votre domaine, consultez la documentation de votre fournisseur de services de messagerie et suivez les instructions indiquées à l'adresse Configuration d'une adresse e-mail pour votre domaine (p. 9). Si vous utilisez Amazon WorkMail, consultez Utilisation des utilisateurs dans le Guide de l'administrateur Amazon WorkMail. Après voir mis à disposition au moins une des huit adresses e-mail auxquelles AWS envoie un e-mail de validation et avoir confirmé que vous pouvez recevoir un e-mail pour cette adresse, vous êtes prêt à demander un certificat via ACM. Une fois que vous avez créé une demande de certificat, vérifiez que l'adresse e-mail prévue s'affiche dans la liste des adresses e-mail dans la AWS Management Console. Pendant que le certificat a l'état Validation en attente, vous pouvez développer la liste pour l'afficher en cliquant sur l'icône en regard du nom de domaine dans la case Validation non terminée. Vous pouvez aussi afficher la liste dans Step 3: Validate de l'assistant Request a Certificate d'ACM. Les adresses e-mail répertoriées sont celles auxquelles l'e-mail a été envoyé. Contacter le Centre de support Si, après avoir consulté les conseils précédents, vous ne recevez toujours pas d'e-mail de validation de domaine, accédez au Centre de support et créez une demande. Si vous n'avez pas de contrat d'assistance, envoyez un message au Forum de support ACM. E-mail envoyé au sous-domaine Si vous demandez un certificat pour un nom de sous-domaine, par exemple sub.test.example.com, ACM vérifie ensuite s'il existe un enregistrement MX pour sub.test.example.com. Sinon, le domaine parent test.example.com est ensuite vérifié, et ainsi de suite, jusqu'au domaine de base example.com. Si un enregistrement MX est trouvé, la recherche s'arrête et un e-mail de validation est envoyé aux adresses administratives courantes pour le sous-domaine. Ainsi, si un enregistrement MX est trouvé pour test.example.com, un e-mail est envoyé à [email protected], [email protected] et les autres adresses administratives spécifiées dans Validation de la propriété du domaine (p. 13). Si un enregistrement MX n'est pas trouvé dans un des sous-domaines, aucun e-mail n'est envoyé. Pour que l'e-mail soit envoyé directement au domaine apex, par exemple example.com, spécifiez l'option ValidationDomain dans l'API RequestCertificate ou la commande d'AWS CLI request-certificate. Cette fonctionnalité n'est pas prise en charge actuellement dans la console. Délai d'attente de la demande de certificat dépassé Les demandes de certificats ACM expirent si elles ne sont pas validées dans les 72 heures. Pour corriger ce problème, supprimez votre demande et choisissez Request a certificate pour recommencer. Version 1.0 62 AWS Certificate Manager Guide de l'utilisateur Échec de la demande de certificat Pour plus d'informations sur la manière d'approuver une demande de certificat, consultez Validation de la propriété du domaine (p. 13). Échec de la demande de certificat Une demande de certificat ACM peut échouer. Si cela se produit, les explications suivantes peuvent vous aider à comprendre pourquoi la demande a échoué et vous proposent d'effectuer certaines actions pour résoudre le problème. Motifs de l'échec • Aucun contact disponible (p. 63) • Domaine non autorisé (p. 63) • Vérification supplémentaire nécessaire (p. 64) • Domaine public non valide (p. 64) • Autre (p. 64) Aucun contact disponible ACM n'a pas trouvé d'adresse e-mail à utiliser pour valider un ou plusieurs noms de domaine dans la demande de certificat. Pour résoudre ce problème, vous pouvez procéder de l'une des manières suivantes : • Vérifiez que vous avez une adresse e-mail de travail enregistrée dans WHOIS et que cette adresse apparaît lorsque vous effectuez une recherche WHOIS standard sur les noms de domaine figurant dans la demande de certificat. En général, vous utilisez pour cela votre registre de domaine. • Vérifiez que votre domaine est configuré pour recevoir des e-mails. Le serveur de noms de votre domaine doit avoir un enregistrement MX pour permettre aux serveurs de messagerie d'ACM de savoir où ils doivent envoyer l'e-mail de validation de domaine (p. 13). L'une des tâches précédentes suffit pour résoudre ce problème. Il est inutile d'effectuer les deux. Une fois que vous avez résolu le problème, demandez un nouveau certificat. Vous ne pouvez pas soumettre à nouveau une demande de certificat qui a échoué. Pour plus d'informations sur la façon de vous assurer que vous recevez les e-mails de validation de domaine provenant d'ACM, consultez Configuration d'une adresse e-mail pour votre domaine (p. 9) ou Pas de réception d'e-mail de validation (p. 61). Si vous suivez ces étapes et que vous continuez à obtenir le message Aucun contact disponible, signalez le problème à AWS pour que nous puissions l'examiner. Domaine non autorisé ACM n'autorise pas les demandes de certificat pour un ou plusieurs noms de domaine figurant dans la demande de certificat. En général, cela provient du fait qu'un ou plusieurs noms de domaine figurant dans la demande de certificat ont été trouvés dans la liste Google Safe Browsing des sites Web non sécurisés ou dans la liste PhishTank des hameçons valides. Pour résoudre ce problème, vous pouvez procéder de l'une des manières suivantes : • Rechercher le nom de votre domaine sur le site Google Safe Browsing Site Status. Si votre domaine est considéré comme non sécurisé, consultez Google Webmasters - Assistance pour les sites Web piratés pour savoir ce que vous pouvez faire. Si vous pensez que votre domaine est sécurisé, consultez Faire une demande de réexamen pour demander une vérification de Google. • Recherchez votre nom de domaine dans la page d'accueil PhishTank. Si votre domaine est considéré comme un hameçon, consultez Google Webmasters - Assistance pour les sites Web Version 1.0 63 AWS Certificate Manager Guide de l'utilisateur Vérification supplémentaire nécessaire piratés ou Aide StopBadware Webmaster Help pour savoir ce que vous pouvez faire. Si vous pensez que votre domaine est sécurisé, consultez la FAQ PhishTank pour savoir comment signaler un faux positif. Une fois que vous avez résolu le problème, demandez un nouveau certificat. Vous ne pouvez pas soumettre à nouveau une demande de certificat qui a échoué. Vérification supplémentaire nécessaire ACM requiert davantage d'informations pour traiter cette demande de certificat. Pour fournir ces informations, utilisez le Centre de support pour contacter AWS Support. Si vous n'avez pas de plan de support, publiez un nouveau fil de discussion dans le forum de discussion AWS Certificate Manager. Note Vous ne pouvez pas demander un certificat pour des noms de domaine qui sont la propriété d'Amazon, par exemple ceux qui se terminent par amazonaws.com, cloudfront.net ou elasticbeanstalk.com. Ainsi, votre demande de certificat échoue lorsqu'elle contient ces noms de domaine. Domaine public non valide Un ou plusieurs noms de domaine figurant dans la demande de certificat ne sont pas valides. En général, cela provient du fait qu'un nom de domaine figurant dans la demande ne correspond pas à un domaine de niveau supérieur valide. Essayez de renouveler votre demande de certificat, en corrigeant les fautes d'orthographe ou de frappe qui existaient dans la demande qui a échoué, et en vérifiant que tous les noms de domaine figurant dans la demande correspondent à des domaines de niveau supérieur valides. Par exemple, vous ne pouvez pas demander un certificat ACM pour example.domainepublicnonvalide, car « domainepublicnonvalide » n'est pas un domaine de niveau supérieur valide. Si vous continuez à recevoir ce motif d'échec, utilisez le Centre de Support pour contacter AWS Support. Si vous n'avez pas de plan de support, publiez un nouveau fil de discussion dans le forum de discussion AWS Certificate Manager. Autre En règle générale, cet échec se produit lorsqu'un ou plusieurs noms de domaine figurant dans la demande de certificat contient une coquille. Essayez de renouveler votre demande de certificat en corrigeant les fautes d'orthographe ou de frappe qui existaient dans la demande qui a échoué. Si vous continuez à recevoir ce motif d'échec, utilisez le Centre de Support pour contacter AWS Support. Si vous n'avez pas de plan de support, publiez un nouveau fil de discussion dans le forum de discussion AWS Certificate Manager. Validation non terminée Si l'état de la demande de certificat ACM est Validation en attente, la demande est en attente de validation. Pour approuver la demande, le représentant autorisé doit répondre à l'e-mail de validation envoyé aux adresses de contact WHOIS enregistrées et aux autres adresses e-mail courantes pour le domaine demandé. Pour plus d'informations sur la manière d'approuver une demande, consultez Validation de la propriété du domaine (p. 13). Important Si votre demande comprend plusieurs noms de domaine dans le certificat, vous devez approuver chaque nom de domaine que vous avez inclus. Si vous ne recevez pas d'e-mail de Version 1.0 64 AWS Certificate Manager Guide de l'utilisateur Validation non terminée validation pour chaque nom de domaine inclus dans la demande, consultez Pas de réception d'e-mail de validation (p. 61). Version 1.0 65 AWS Certificate Manager Guide de l'utilisateur Historique du document Le tableau suivant décrit l'historique des versions de la documentation d'AWS Certificate Manager. Dernière date de mise à jour de la documentation : 13 octobre 2016 Modification Description Date de parution Nouveau contenu Ajout de la documentation sur Importation de certificats (p. 25). 13 octobre 2016 Nouveau contenu Ajout de la prise en charge de AWS CloudTrail pour les actions ACM. Voir Journalisation des appels d'API AWS Certificate Manager avec AWS CloudTrail (p. 37). 25 mars 2016 Nouveau guide Cette version présente AWS Certificate Manager. 21 janvier 2016 Version 1.0 66