Obtención de los valores de conexión para AWS Lambda (PKI de AWS )

Acerca de esta tarea

Siga estas instrucciones para obtener los valores de conexión del tipo de autenticación PKI « AWS » para AWS Lambda. Puede obtener el certificado de cliente y la clave privada utilizando OpenSSL o la autoridad de certificación privada de AWS ( AWS Private CA).

Procedimiento

Para obtener el certificado de cliente y la clave privada de cliente mediante OpenSSL,, siga estos pasos:

Importante: Asegúrate de que tengas instalado « OpenSSL » en tu sistema.

Abra un terminal.
Ejecuta los siguientes comandos en un terminal para crear un directorio de trabajo para los archivos de certificados.
```
mkdir -p ~/rolesanywhere-ca
cd ~/rolesanywhere-ca
```
Crea un archivo con el nombre openssl.cnf en el directorio del espacio de trabajo de certificados utilizando un editor de texto.

Pega la siguiente configuración mínima de ` OpenSSL ` en el archivo y guárdalo:

[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name
x509_extensions    = v3_ca
prompt             = no

[ req_distinguished_name ]
C  = US
ST = California
L  = San Francisco
O  = MyCompany
OU = DevOps
CN = MyRolesAnywhereCA

[ v3_ca ]
basicConstraints = critical, CA:TRUE
keyUsage = critical, keyCertSign, cRLSign
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer

Genera la clave privada de la CA.
```
openssl genrsa -out ca.key 2048
```

Genera el certificado de CA autofirmado.

openssl req -x509 -new -nodes \
  -key ca.key \
  -sha256 \
  -days 3650 \
  -out ca.pem \
  -config openssl.cnf

# The self-signed CA certificate is valid for 10 years

El ca.pem archivo es el certificado de la CA raíz.

Sube el contenido del archivo ca.pem generado a la consola de administración de AWS s cuando crees un punto de referencia de confianza en el paso 3.
Crea un archivo de configuración de ` OpenSSL ` con el nombre leaf.cnf para el certificado.

Pega el siguiente contenido de configuración mínima de ` OpenSSL ` en el archivo y guárdalo:

[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name
req_extensions     = v3_req
prompt             = no

[ req_distinguished_name ]
C  = US
ST = California
L  = San Francisco
O  = MyCompany
OU = DevOps
CN = MyAppLeafCert

[ v3_req ]
basicConstraints = critical, CA:FALSE
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth
subjectKeyIdentifier = hash

Genera la clave privada del cliente.
```
openssl genrsa -out leaf.key 2048
```

Genera la solicitud de firma de certificado (CSR).

openssl req -new \
  -key leaf.key \
  -out leaf.csr \
  -config leaf.cnf

Copia y guarda el leaf.key archivo. Este es el valor de la clave privada de tu cliente.

Firma el certificado de cliente utilizando la CA.

openssl x509 -req \
  -in leaf.csr \
  -CA ca.pem \
  -CAkey ca.key \
  -CAcreateserial \
  -out leaf.pem \
  -days 365 \
  -sha256 \
  -extfile leaf.cnf \
  -extensions v3_req

Copia y guarda el leaf.pem archivo de forma segura. Este es el valor de tu certificado de cliente.

Consejo: Si es necesario, puedes cifrar los archivos.

Para obtener el certificado de cliente y la clave privada de cliente mediante una autoridad de certificación privad AWS, siga estos pasos:
1. Inicie sesión en su consola de administración de AWS.
2. Accede a la autoridad de certificación privada de AWS.
3. Haz clic en el botón «Crear una CA privada ».
4. Selecciona el modo que necesites en las opciones de modo.
5. En las opciones de tipo de certificado, selecciona «Raíz» como tipo.
6. Introduzca los valores de las opciones del nombre distintivo del sujeto según sea necesario.
7. En la sección «Opciones del algoritmo de clave», seleccione el algoritmo de clave y el nivel de seguridad según sea necesario.
8. En «Opciones de revocación de certificados », seleccione el método que desee.
9. Haz clic en el botón «Crear CA ».
  Nota: Para obtener información detallada sobre cómo crear una autoridad de certificación privada, consulte «Crear una CA privada » en la página de documentación de AWS sobre CA privadas en AWS.
10. Selecciona la entidad certificadora que has creado.
11. Ve a Acciones > Instalar certificado de CA.
12. En «Especificar los parámetros del certificado de la CA raíz », introduzca los parámetros de su certificado.
13. Revisa la configuración y, a continuación, haz clic en «Confirmar e instalar ».
  Nota: Para obtener información detallada sobre cómo instalar un certificado de CA, consulte la sección «Instalación del certificado de CA» en la página de documentación de AWS.
14. Ve a AWS Certificate Manager en tu consola de Amazon.
15. Haz clic en el botón «Solicitar un certificado ».
16. En «Tipo de certificado», selecciona «Solicitar un certificado privado ».
17. En «Autoridad de certificación », seleccione la autoridad de certificación privada que creó en el paso 2.i.
18. Introduce un nombre en la sección «Nombres de dominio ».
19. Seleccione el algoritmo de clave que necesite.
20. Haz clic en el botón «Solicitar ».
21. Para exportar el certificado, selecciona el ID del certificado que has creado.
22. Haz clic en el botón «Exportar ».
23. Introduce y confirma una contraseña. Este es el valor de la contraseña de la clave privada de tu cliente.
24. Haz clic en el botón «Generar codificación de PEM ».
25. Descarga y guarda el certificado exportado. Este es el valor de tu certificado de cliente.
26. Descarga y guarda la clave privada exportada. Este es el valor de tu clave privada.
Para obtener el valor del ARN del ancla de confianza, siga estos pasos:
1. Inicie sesión en la consola de administración de AWS.
2. Ve a IAM y, a continuación, selecciona «Roles» en la barra lateral.
3. En la sección «Roles en cualquier lugar », haz clic en «Gestionar ».
4. Haz clic en el botón «Crear un punto de confianza ».
5. En el campo «Nombre del punto de referencia de confianza », introduzca un nombre para el punto de referencia de confianza.
6. En «Fuente de la autoridad de certificación (CA) », selecciona la fuente según cómo hayas creado la autoridad de certificación.
  Si ha creado la autoridad de certificación utilizando la autoridad de certificación privada de AWS :
  - Seleccione « AWS » como fuente de la autoridad de certificación (CA).
  - En la sección « AWS » (Autoridad de certificación privada), seleccione la autoridad de certificación que creó en el paso 2.i.
  Si ha creado la autoridad de certificación mediante OpenSSL:
  - Seleccione «Paquete de certificados externos» como origen de la autoridad de certificación (CA).
  - En la sección «Paquete de certificados externos », copie y pegue el contenido del ca.pem archivo que generó en el paso 1.f.
7. Configura los ajustes de notificación según sea necesario.
8. Haz clic en el botón «Crear un punto de confianza ».
  
  Nota: Para obtener más información sobre cómo crear un punto de referencia de confianza, consulta la sección «Establecer confianza» en la página de documentación de AWS.
9. En la sección «Anclas de confianza », selecciona la ancla de confianza que has creado.
10. Copia el valor ARN (este es el valor ARN de tu Trust Anchor) y guárdalo en un lugar seguro.
Para obtener el valor ARN del rol, siga estos pasos:
1. Inicie sesión en la consola de administración de AWS.
2. Ve a IAM y, a continuación, selecciona «Roles» en la barra lateral.
3. Selecciona «Crear una nueva función » y, a continuación, haz clic en «Siguiente ».
  Aparece la página «Seleccionar entidad de confianza ».
4. Seleccione «Política de confianza personalizada» como tipo de entidad de confianza.
5. Pega la siguiente política JSON.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "rolesanywhere.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession",
        "sts:SetSourceIdentity"
      ]
    }
  ]
}
```
6. Haz clic en el botón «Siguiente ».
  Aparece la página «Añadir permisos ».
7. Selecciona las políticas de permisos adecuadas para asignarlas a tu nueva función.
8. Haz clic en el botón «Siguiente ».
  Aparecerá la página «Nombrar, revisar y crear ».
9. En el campo «Nombre del rol », introduce un nombre para el rol.
10. En el campo «Descripción», introduce una descripción para el rol.
11. Haz clic en el botón «Crear rol ».
12. En la página «Roles», selecciona el rol que has creado.
13. Copia el valor del ARN (este es el ARN de tu rol) y guárdalo en un lugar seguro.
Para obtener el valor ARN del perfil, siga estos pasos:
1. Inicie sesión en su consola de administración de AWS.
2. Ve a IAM y, a continuación, selecciona «Roles» en la barra lateral.
3. En la sección «Roles Anywhere », haz clic en el botón «Gestionar ».
4. Haz clic en el botón «Crear un perfil ».
  Aparecerá la página «Crear un perfil ».
5. En el campo «Nombre del perfil », introduce un nombre para tu perfil.
6. Haz clic en el botón «Añadir otro rol » y, a continuación, selecciona el ARN del rol que creaste en el paso 4.
7. Opcional: Añade una política JSON como política en línea según tus necesidades.
  Por ejemplo, para conceder acceso completo a S3 con etiquetado de sesión, copia y pega la siguiente política JSON.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "sts:TagSession",
        "sts:SetSourceIdentity"
      ],
      "Resource": "*"
    }
  ]
}
```
  Por ejemplo, para limitar la política de sesión a un depósito concreto, copia y pega la siguiente política JSON.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::your-bucket-name",
        "arn:aws:s3:::your-bucket-name/*"
      ]
    }
  ]
}
```
8. Establezca la duración de la sesión según sea necesario.
9. Haz clic en el botón «Crear un perfil ».
10. En la sección «Perfiles», selecciona el perfil que has creado.
11. Copia el valor del ARN (este es el ARN de tu perfil) y guárdalo en un lugar seguro.