在Workspace使用由 AWS 私有 CA 提供验证的受信任设备

0

【以下的问题经过翻译处理】 客户希望只信任办公环境中的特定设备来部署"安全"的AWS Workspace。根据以下链接,我们可以使用"证书"来信任设备。根据AWS CA层次结构最佳实践,我们应该至少有两个层级CA(根+下级)。

https://docs.aws.amazon.com/workspaces/latest/adminguide/trusted-devices.html https://docs.aws.amazon.com/acm-pca/latest/userguide/ca-hierarchy.html

因此,我们有两个问题:

  1. 我们是否可以只使用"单个"根CA为Workspace用户签发证书?(即在设计中没有下级CA)
  2. 尽管"根+下级"CA提供更好的安全性,但每个AWS私有CA的成本为400美元。在这种情况下,即使在"相同"层次结构下,我们是否应该为两个CA收费2 x 400美元?
1 Answer
0

【以下的回答经过翻译处理】 1. 是的。设计CA层级(如您所提到的)遵循安全最佳实践,但仍然可以选择为此项目只设置一个PCA。一如往常,客户负责做出这些决策,并知道并接受其中的风险。 2. ACM-PCA的定价按照每个PCA计费。因此,如果您有一个根PCA和一个子PCA,您将不得不为两者支付费用,无论它们是否在同一层级下。

profile picture
EXPERT
answered a year ago

You are not logged in. Log in to post an answer.

A good answer clearly answers the question and provides constructive feedback and encourages professional growth in the question asker.

Guidelines for Answering Questions