Perguntas frequentes do AWS Certificate Manager

O ACM gerencia certificados públicos, privados e importados. Saiba mais sobre os recursos do ACM na documentação Emissão e gerenciamento de certificados.

Sim. Cada certificado deve incluir, pelo menos, um nome de domínio e você pode adicionar outros nomes ao certificado se quiser. Por exemplo, você pode adicionar o nome "www.exemplo.net" para um certificado para "www.example.com" se os usuários podem acessar seu site por qualquer um dos nomes. Você deve possuir ou controlar todos os nomes incluídos na solicitação de certificado. 

Um nome de domínio curinga corresponde a qualquer subdomínio de primeiro nível ou nome de host em um domínio. Um subdomínio de primeiro nível em um nome de domínio único que não contenha um ponto. Por exemplo, você pode usar *.example.com para proteger www.example.com, imagens.exemplo.com e qualquer outro nome de host ou subdomínio de primeiro nível que termine com .exemplo.com. Saiba mais no Guia do usuário do ACM.

Sim.

Não.

Não.

Não.

Os certificados emitidos pelo ACM são válidos por 13 meses (395 dias). Se você emitir certificados privados diretamente de uma autoridade de certificação privada e gerenciar as chaves e os certificados sem usar o ACM para o gerenciamento dos certificados, poderá escolher qualquer período de validade, incluindo uma data final absoluta ou um período relativo especificado em dias, meses ou anos a partir do momento atual.

Por padrão, os certificados emitidos no ACM usam chaves RSA com módulo de 2.048 bits e SHA-256. Além disso, você pode solicitar certificados Elliptic Curve Digital Signature Algorithm (ECDSA) com P-256 ou P-384. Saiba mais sobre algoritmos no Guia do usuário do ACM.

Você pode solicitar que o ACM revogue um certificado público acessando o AWS Support Center e criando um caso. Para revogar um certificado privado emitido pelo seu AWS Private CA, consulte o Guia do usuário do AWS Private CA.

Não. Os certificados do ACM devem estar na mesma região do recurso em que estão sendo usados. A única exceção é o Amazon CloudFront, um serviço global que requer certificados na região Leste dos EUA (N. da Virgínia). Os certificados do ACM nessa região que estiverem associados a uma distribuição do CloudFront serão distribuídos para todas as localizações geográficas configuradas para essa distribuição.

Sim.

Você pode usar certificados privados emitidos pela AC privada com instâncias do EC2, contêineres e seus próprios servidores. No momento, os certificados públicos do ACM só podem ser usados com serviços específicos da AWS, incluindo o AWS Nitro Enclaves. Consulte Integrações de serviços do ACM.

O ACM não permite caracteres do idioma local com codificação Unicode; no entanto, o ACM permite caracteres do idioma local com codificação ASCII para os nomes de domínio.

O ACM permite apenas ASCII com codificação UTF-8, incluindo rótulos contendo “xn–”, normalmente conhecido como Punycode para nomes de domínio. O ACM não aceita entrada em Unicode (rótulos u) para nomes de domínio.

Sim. Se você quiser usar um certificado de terceiros com os serviços Amazon CloudFront, Elastic Load Balancing ou Amazon API Gateway, importe-o para o ACM usando o Console de Gerenciamento da AWS, a ILC da AWS ou as APIs do AWS Certificate Manager. O ACM não gerencia o processo de renovação para certificados importados. Você pode usar o Console de Gerenciamento da AWS para monitorar as datas de expiração de um certificado importado e importar um novo certificado de terceiros para substituir o que está prestes a vencer.

Os dois tipos de certificado ajudam os clientes a identificar recursos em redes e proteger a comunicação entre esses recursos. Os certificados públicos identificam recursos na Internet.

O ACM disponibiliza certificados públicos Domain Validated (DV – Validados para o domínio) para uso em sites e aplicações que terminam o SSL/TLS. Para obter mais detalhes sobre certificados do ACM, consulte Características dos certificados.

Os certificados públicos do ACM são considerados confiáveis pela maioria dos navegadores, sistemas operacionais e dispositivos móveis modernos. Os certificados fornecidos pelo ACM são compatíveis como 99% dos navegadores e sistemas operacionais, incluindo Windows XP SP3 e Java 6 e posterior.

Alguns navegadores que confiam em certificados do ACM exibem um ícone de cadeado e não emitem alertas de certificados quando conectados a sites que utilizam os certificados do ACM com SSL/TLS, por exemplo, usando HTTPS.

Os certificados públicos do ACM são verificados pela autoridade de certificação (AC) da Amazon. Qualquer navegador, aplicação ou sistema operacional que inclua o Amazon Root CA 1, o Amazon Root CA 2, o Amazon Root CA 3, o Amazon Root CA 4, a Starfield Services Root Certificate Authority - G2 confia nos certificados do ACM. Para obter mais informações sobre CAs raiz, visite o Repositório Amazon Trust Services.

Não.

Elas são descritas nos documentos Amazon Trust Services Certificate Policies e Amazon Trust Services Certification Practices Statement. Consulte o repositório Amazon Trust Services para obter as versões mais recentes.

Não. Se você deseja que seu site seja referenciado por ambos os nomes de domínio (www.example.com e example.com), você deve solicitar um certificado que inclua os dois nomes.

O uso do ACM ajuda você a cumprir requisitos normativos facilitando conexões seguras, um requisito comum entre vários programas de conformidade como PCI, FedRAMP e HIPAA. Para obter informações específicas sobre conformidade, consulte http://aws.amazon.com/compliance.

Não, o ACM não tem um SLA.

Não. Se você desejar usar um selo de site, poderá obter um por meio de um fornecedor externo. Nós recomendamos escolher um fornecedor que avalie e confirme a segurança do seu site ou das suas atividades empresariais, ou de ambos.

Não. Os selos desse tipo podem ser copiados para sites que não utilizam o serviço de ACM e usados de modo inadequado para estabelecer confiança sob falsos pretextos. Para proteger nossos clientes e a reputação da Amazon, nós não permitimos que o nosso logotipo seja usado dessa maneira.

Você pode usar o Console de Gerenciamento da AWS, a ILC da AWS ou as APIs/SDKs do ACM. Para usar o Console de Gerenciamento da AWS, navegue até o Certificate Manager, selecione Request a certificate, selecione Request a public certificate, insira o nome do domínio do site e siga as instruções na tela para concluir a solicitação. Se os usuários puderem acessar seu site usando outros nomes, você poderá adicionar nomes de domínio à sua solicitação. Antes de emitir um certificado, o ACM valida que você tem a propriedade ou o controle dos nomes de domínio na solicitação de certificado. Você pode escolher uma validação de DNS ou uma validação de e-mail ao solicitar um certificado. Na validação de DNS, grave um registro na configuração pública do DNS do domínio para estabelecer que você tem a propriedade ou controla o domínio. Depois de usar a validação de DNS após estabelecer o controle do domínio, você poderá obter certificados adicionais, e o ACM renovará certificados atuais de domínio, contanto que o registro permaneça vigente e o certificado continue sendo usado. Não é necessário validar o controle do domínio novamente. Se você escolher a validação de e-mail em vez da validação de DNS, os e-mails serão enviados para o proprietário do domínio que estiver solicitando aprovação para a emissão do certificado. Depois de validar que você tem a propriedade e o controle de cada nome de domínio na solicitação, o certificado será emitido e ficará pronto para ser provisionado com outros Serviços da AWS, como o Elastic Load Balancing ou o Amazon CloudFront. Consulte a documentação do ACM para obter detalhes.

Os certificados são usados para estabelecer a identidade do site e as conexões seguras entre os navegadores, e as aplicações e o site. Para emitir um certificado confiável publicamente, a Amazon deve validar que o solicitante do certificado controla o nome de domínio na solicitação de certificado.

Antes de emitir um certificado, o ACM valida que você tem a propriedade ou o controle dos nomes de domínio na solicitação de certificado. Você pode escolher uma validação de DNS ou uma validação de e-mail ao solicitar um certificado. Com a validação de DNS, é possível validar a propriedade de um domínio ao adicionar um registro CNAME à configuração do DNS. Consulte validação de DNS para obter mais detalhes. Se você não tiver a capacidade de gravar registros na configuração pública do DNS do seu domínio, poderá usar a validação de e-mail em vez da validação de DNS. Com a validação de e-mail, o ACM envia e-mails para o proprietário do domínio registrado, e o proprietário ou um representante autorizado pode aprovar a emissão de cada nome de domínio na solicitação de certificado. Consulte Validação de e-mail para obter mais detalhes.

Recomendamos o uso da validação de DNS se você tiver a capacidade de alterar a configuração do DNS do seu domínio. Os clientes que não puderem receber e-mails de validação do ACM, e aqueles que usarem um registrador de domínios que não publique informações de contato de e-mail do proprietário do domínio no WHOIS, devem usar a validação de DNS. Se você não puder modificar sua configuração de DNS, deverá usar a validação de e-mail.

Não, mas você pode solicitar um novo certificado gratuito no ACM e selecionar a validação de DNS para ele.

O tempo necessário para a emissão de um certificado depois que todos os nomes de domínio em uma solicitação de certificado tiverem sido validados poderá ser várias horas ou mais.

O ACM tenta validar a propriedade e o controle de cada nome de domínio na solicitação de certificado, de acordo com o método de validação escolhido (DNS ou e-mail) ao fazer a solicitação. O status da solicitação de certificado será “Pending validation” enquanto o ACM tentar validar a sua propriedade e o seu do domínio. Consulte as seções Validação de DNS e Validação de e-mail abaixo para obter mais informações sobre o processo de validação. Depois que todos os nomes de domínio em uma solicitação de certificado tiverem sido validados, o tempo necessário para a emissão de um certificado poderá ser várias horas ou mais. Quando o certificado for emitido, o status da solicitação de certificado será alterado para Issued e você poderá começar a usá-lo com outros serviços da AWS integrados ao ACM.

Sim. Os registros de Certificate Authority Authorization (CAA – Autorização de autoridade de certificação) do DNS permitem que proprietários de domínio especifiquem quais autoridades de certificação estão autorizadas a emitir certificados para os domínios desses proprietários. Quando você solicita um certificado do ACM, o AWS Certificate Manager procura um registro CAA na configuração de zonas de DNS do domínio. Se nenhum registro CAA for encontrado, a Amazon poderá emitir um certificado para o domínio. A maioria dos clientes está nessa categoria.

Se a configuração de DNS tiver um registro CAA, esse registro deverá especificar uma das seguintes ACs para que a Amazon possa emitir um certificado para o domínio: amazon.com, amazontrust.com, awstrust.com ou amazonaws.com. Consulte Configure a CAA Record ou Troubleshooting CAA Problems no Guia do usuário do AWS Certificate Manager para obter mais informações.

Não neste momento.

Com a validação de DNS, é possível validar a propriedade de um domínio ao adicionar um registro CNAME à configuração do DNS. A validação de DNS torna fácil estabelecer a propriedade de um domínio durante a solicitação de certificados SSL/TLS públicos usando o ACM.

A validação de DNS facilita a validação da propriedade ou do controle de um domínio, o que permite que você obtenha um certificado SSL/TLS. Com a validação de DNS, basta gravar um registro CNAME na configuração do DNS para estabelecer o controle do seu nome de domínio. Para simplificar o processo de validação de DNS, o Console de Gerenciamento do ACM pode configurar registros de DNS para você, caso gerencie seus registros de DNS usando o Amazon Route 53. Isso facilita estabelecer o controle do seu nome de domínio com apenas alguns cliques no mouse. Depois de configurar o registro CNAME, o ACM renova automaticamente os certificados que estão sendo usados (associados a outros recursos da AWS), contanto que a validação de DNS permaneça vigente. As renovações são totalmente automáticas e você não precisa fazer nada.

Qualquer usuário que solicitar um certificado por meio do ACM e tiver a capacidade de alterar a configuração do DNS do domínio solicitado deve considerar o uso desse tipo de validação.

Sim. O ACM continua a aceitar a validação de e-mail para clientes que não possam alterar a configuração do DNS.

Você deve adicionar um registro CNAME ao domínio que deseja validar. Por exemplo, para validar o nome www.example.com, adicione um registro CNAME à zona de exemplo.com. O registro adicionado contém um token exclusivo gerado pelo ACM especificamente para seu domínio e sua conta da AWS. Você pode obter as duas partes do registro CNAME (nome e rótulo) usando o ACM. Para obter mais instruções, consulte o Guia do usuário do ACM.

Para obter mais informações sobre como adicionar ou modificar registros de DNS, entre em contato com o provedor de DNS. A documentação do DNS do Amazon Route 53 apresenta mais informações para os clientes que usam esse serviço.

Sim. Para os clientes que estiverem usando o DNS do Amazon Route 53 para gerenciar registros de DNS, o console do ACM pode adicionar registros à configuração de DNS quando um certificado for solicitado. A hosted zone do serviço de DNS do Route 53 do domínio deve ser configurada na mesma conta da AWS onde está sendo feita a solicitação, e você deve ter permissões suficientes para alterar a configuração do Amazon Route 53. Para obter mais instruções, consulte o Guia do usuário do ACM.

Não. Você pode usar a validação de DNS com qualquer provedor de DNS, contanto que o provedor permita a adição de um registro CNAME à sua configuração do DNS.

Apenas um. Você pode obter vários certificados para o mesmo nome de domínio na mesma conta da AWS usando apenas um registro CNAME. Por exemplo, se você fizer duas solicitações de certificado por meio da mesma conta da AWS para o mesmo nome de domínio, será necessário apenas um registro CNAME de DNS.

Não. Cada nome de domínio deve ter um único registro CNAME.

Sim.

Os registros CNAME de DNS têm dois componentes: um nome e um rótulo. O componente nome de um CNAME gerado pelo ACM é criado por meio de um caractere sublinhado (_) seguido por um token, que é uma string única vinculada à conta da AWS e ao nome de domínio. O ACM adiciona o caractere sublinhado e o token no início do nome de domínio para criar o componente nome. O ACM cria o rótulo por meio de um caractere sublinhado adicionado ao início de um token diferente que também está vinculado à conta da AWS e ao nome de domínio. O ACM adiciona o caractere sublinhado e o token a um nome do domínio DNS usado pela AWS para fazer validações: acm-validations.aws. O exemplo a seguir mostra a formatação de CNAMEs para www.example.com, subdominio.exemplo.com e *.exemplo.com.

_TOKEN1.www.example.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                 CNAME      _TOKEN6.acm-validations.aws

Observe que o ACM remove o rótulo curinga (*) durante a geração dos registros CNAME para nomes curingas. Como resultado, o registro CNAME gerado pelo ACM para um nome curinga (como *.example.com) é o mesmo registro retornado ao nome de domínio sem o rótulo curinga (example.com).

Não. Cada nome de domínio, inclusive os nomes de host e os nomes de subdomínio, deve ser validado separadamente, cada um com um registro CNAME exclusivo.

O uso de um registro CNAME permite que o ACM renove certificados enquanto o registro CNAME existir. O registro CNAME faz o direcionamento para um registro TXT em um domínio da AWS (acm-validations.aws), que o ACM pode atualizar conforme for necessário para validar ou revalidar um nome de domínio, sem que você precise fazer nada.

Sim. Você pode criar um registro CNAME de DNS e usá-lo para obter certificados na mesma conta da AWS em qualquer região da AWS em que o ACM for oferecido. Configure o registro CNAME uma vez e você poderá conseguir emitir e renovar certificados usando o ACM para um determinado nome sem a necessidade de criar outro registro.

Não. Cada certificado pode ter apenas um método de validação.

O ACM renova automaticamente certificados que estejam sendo usados (associados a outros recursos da AWS), contanto que o registro de validação de DNS permaneça vigente.

Sim. Basta remover o registro CNAME. O ACM não emitirá nem renovará certificados para o domínio usando a validação de DNS depois que você remover o registro CNAME e a alteração for distribuída por meio do DNS. O tempo de propagação necessário para remover o registro depende do seu provedor de DNS.

O ACM não poderá emitir nem renovar certificados para o domínio usando a validação de DNS se você remover o registro CNAME.

Na validação de e-mail, um e-mail de solicitação de aprovação é enviado para o proprietário do domínio registrado para cada nome de domínio na solicitação de certificado. O proprietário do domínio ou um representante autorizado (aprovador) pode aprovar a solicitação do certificado seguindo as instruções no e-mail. As instruções orientam o aprovador a navegar para o site de aprovação e clicar no link no e-mail, ou colar o link do e-mail em um navegador, para acessar o site de aprovação. O aprovador confirma as informações associadas à solicitação de certificado, como o nome de domínio, o ID de certificado (Nome de região da Amazon [ARN]) e o ID da conta da AWS iniciando a solicitação, e aprova a solicitação se as informações forem precisas.

Quando você solicita um certificado usando a validação de e-mail, uma consulta do WHOIS para cada nome de domínio na solicitação de certificado é usada para recuperar informações de contato para o domínio. O e-mail é enviado para o contato administrativo, o contato técnico e para o registrador do domínio que estiverem relacionados ao domínio. Um e-mail também é enviado para cinco endereços de e-mail especiais, que são formados ao adicionar admin@, administrator@, hostmaster@, webmaster@ e postmaster@ antes do nome de domínio que estiver solicitando. Por exemplo, se você solicitar um certificado para www.example.com, um e-mail é enviado para quem registra o domínio, o contato técnico e contato administrativo usando as informações de contato fornecidas por uma consulta WHOIS para o domínio exemplo.com, mais [email protected], [email protected], [email protected], [email protected] e [email protected].

Os cinco endereços de e-mail especiais são criados de forma diferente para nomes de domínio que começam com "www" ou nomes com curinga que começam com um asterisco (*). O ACM remove o prefixo "www" ou asterisco e envia o e-mail para os endereços administrativos formados pelo acréscimo dos prefixos admin@, administrator@, hostmaster@, postmaster@ e webmaster@ à parte restante do nome do domínio. Por exemplo, se você solicitar um certificado para www.example.com, o e-mail será enviado aos contatos do WHOIS, como descrito anteriormente, e para [email protected] em vez de [email protected]. Os outros quatro endereços de e-mail especiais restantes são criados de forma similar.

Depois que solicitar um certificado, você poderá exibir a lista de endereços para os quais foram enviados os e-mails de cada domínio usando o console do ACM, CLI da AWS ou APIs.

Não, mas você pode configurar o nome de domínio base para o qual você deseja que o e-mail de validação foi enviado. O nome de domínio base deve ser um superdomínio do nome de domínio na solicitação de certificado. Por exemplo, se você deseja solicitar um certificado para servidor.dominio.example.com, mas deseja direcionar o e-mail de aprovação para [email protected], você pode fazer isso usando a CLI ou a API da AWS. Consulte Referência de CLI do ACM e Referência de API do ACM para obter mais detalhes.

Sim. No entanto, a entrega do e-mail pode sofrer atraso como resultado do proxy. O e-mail enviado através de um proxy pode acabar indo para sua pasta de lixo eletrônico. Consulte o Guia do usuário do ACM para obter sugestões de solução de problemas.

Não. Os procedimentos e políticas para validação da identidade do proprietário do domínio são muito rígidos e determinados pelo CA/Browser Forum, que define padrões de políticas para autoridades de certificação confiáveis publicamente. Para saber mais, consulte a mais recente Amazon Trust Services Certification Practices Statement no Amazon Trust Services Repository.

Consulte o Guia do usuário do ACM para obter sugestões de solução de problemas.

Um par de chaves é criado para cada certificado fornecido pelo ACM. O ACM foi projetado para proteger e gerenciar as chaves privadas usadas com certificados SSL/TLS. As melhores práticas de criptografia forte e gerenciamento de chave são usadas ao proteger e armazenar chaves privadas.

Não. A chave privada de cada certificado do ACM é armazenada na região na qual você solicitou o certificado. Por exemplo, quando você obtém um novo certificado na região Leste dos EUA (Norte da Virgínia), o ACM armazena a chave privada na região do Norte da Virgínia. Os certificados do ACM são apenas copiados entre regiões se o certificado está associado com uma distribuição do CloudFront. Nesse caso, o CloudFront distribui o certificado do ACM para os locais geográficos configurados para sua distribuição.

A renovação e a implantação gerenciadas do ACM administram o processo de renovação de certificados SSL/TLS do ACM e a implantação desses certificados depois que são renovados.

O ACM pode gerenciar a renovação e a implantação dos certificados SSL/TLS para você. O ACM torna a configuração e a manutenção do SSL/TLS para um serviço de web ou aplicativo seguras mais confiáveis operacionalmente que os processos manuais propensos a erros. A renovação e a implantação gerenciadas podem ajudar você a evitar interrupções causadas por certificados vencidos. O ACM opera como serviço integrado a outros serviços da AWS. Isso significa que você pode gerenciar e implantar centralmente os certificados na plataforma da AWS usando o Console de Gerenciamento da AWS, CLI da AWS ou APIs. Com a AC privada, você pode criar certificados privados e exportá-los. O ACM renova certificados exportados, o que permite que código de automação do lado do cliente baixe esses certificados e os implante.

Certificados públicos

O ACM pode renovar e implantar certificados públicos do ACM sem aprovação adicional do proprietário do domínio. Se um certificado não puder ser renovado sem validação adicional, o ACM gerencia o processo de renovação ao validar a propriedade ou o controle do domínio para cada nome de domínio no certificado. Depois que cada nome de domínio no certificado tiver sido validado, o ACM renovará o certificado e o implantará automaticamente com seus recursos da AWS. Se o ACM não puder validar a propriedade do domínio, você (o proprietário da conta da AWS) será notificado.

Se você escolher a validação de DNS na sua solicitação de certificado, o ACM poderá renovar o certificado indefinidamente sem que você precise fazer nada, contanto que o certificado esteja sendo usado (associado a outros recursos da AWS) e o registro CNAME permaneça vigente. Se você selecionar a validação de e-mail ao solicitar um certificado, poderá melhorar a capacidade de renovação e implantação automáticas de certificados do ACM garantindo que o certificado está sendo usado, que todos os nomes de domínio incluídos no certificado podem ser resolvidos para o seu site e que todos os nomes de domínio podem ser acessados da Internet.

Certificados privados

O ACM oferece duas opções para gerenciar certificados privados emitidos com o AWS Private CA. Diversos recursos de renovação são fornecidos pelo ACM em função da forma como você gerencia os certificados privados. Você pode escolher a melhor opção de gerenciamento para cada certificado privado emitido.

1) O ACM pode automatizar totalmente a renovação e a implantação de certificados privados emitidos por autoridades de certificação privadas da AWS e usados por serviços integrados ao ACM, como o Elastic Load Balancing e o API Gateway. O ACM pode renovar e implantar certificados privados emitidos por meio do ACM, desde que a autoridade de certificação privada que emitiu o certificado permaneça no estado Ativo.

2) Os certificados privados exportados do ACM para uso com recursos on-premises, instâncias do EC2 e dispositivos da IoT são renovados automaticamente pelo ACM. Você é responsável por recuperar o novo certificado e a chave privada e por implantá-los com o aplicativo.

O ACM inicia o processo de renovação com 60 dias de antecedência da data de vencimento do certificado. O período de validade atual dos certificados do ACM é de 13 meses (395 dias). Consulte o Guia do usuário do ACM para obter mais informações sobre renovações gerenciadas.

Não. O ACM pode renovar ou criar a nova chave do certificado e substituir o antigo sem aviso prévio.

Se você escolher a validação de DNS na solicitação de certificado público, o ACM poderá renovar o certificado sem que você precise fazer nada, contanto que o certificado esteja sendo usado (associado a outros recursos da AWS) e o registro CNAME permaneça vigente.

Se você selecionar a validação de e-mail ao solicitar um certificado público com um domínio vazio, verifique se uma consulta de DNS do domínio vazio é resolvida para o recurso da AWS associado ao certificado. A resolução do domínio bruto para um recurso da AWS pode ser algo desafiador, a menos que você use o Route 53 ou outro provedor de DNS que ofereça suporte a registros de recursos de alias (ou seu equivalente) para mapear domínios vazios para recursos da AWS. Para obter mais informações, consulte o Guia do desenvolvedor do Route 53.

Não, as conexões estabelecidas depois que o novo certificado é implantado usam o novo certificado, e as conexões existentes não são afetadas

Sim.

Sim. Mas você também pode considerar o uso do AWS Private CA para emitir certificados privados que o ACM pode renovar sem validação. Consulte Renovação e implantação gerenciadas para obter detalhes sobre como o ACM cuida das renovações de certificados privados e de certificados públicos que não podem ser acessados da Internet.

Sim. Usando o AWS CloudTrail, você pode analisar logs que informam quando a chave privada para o certificado foi usada.

Você pode identificar quais usuários e contas chamaram APIs da AWS para serviços compatíveis com AWS CloudTrail, o endereço IP de origem dessas chamadas e quando as chamadas ocorreram. Por exemplo, você pode identificar qual usuário fez uma chamada de API para associar um certificado disponibilizado pelo ACM com um Elastic Load Balancer, e quando o serviço Elastic Load Balancing decodificou a chave com uma chamada da API KMS.

Os certificados públicos e privados provisionados pelo AWS Certificate Manager para uso com serviços integrados ao ACM, como o Elastic Load Balancing, o Amazon CloudFront e o Amazon API Gateway, são gratuitos. Você paga apenas pelos recursos da AWS que criar para executar a aplicação. O AWS Private CA tem preços para pagamento conforme o uso. Acesse a página de preços do AWS Private CA para obter mais detalhes e exemplos.

Consulte as Perguntas frequentes sobre o AWS Private CA para saber como usar o AWS Private CA.