

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Praktik terbaik
<a name="acm-bestpractices"></a>

 Praktik terbaik adalah rekomendasi yang dapat membantu Anda menggunakan AWS Certificate Manager (AWS Certificate Manager) lebih efektif. Praktik terbaik berikut didasarkan pada pengalaman dunia nyata dari pelanggan ACM saat ini. 

**Topics**
+ [Account-level pemisahan](#best-practices-account-separation)
+ [AWS CloudFormation](#best-practices-cloudformation)
+ [Toko Kepercayaan Kustom](#best-practices-custom-trust-stores)
+ [Penyematan sertifikat](#best-practices-pinning)
+ [Validasi domain](#best-practices-validating)
+ [Menambahkan atau menghapus nama domain](#best-practices-add-delete)
+ [NyalakanAWS CloudTrail](#best-practices-ct)

## Account-level pemisahan
<a name="best-practices-account-separation"></a>

Gunakan pemisahan tingkat akun dalam kebijakan Anda untuk mengontrol siapa yang dapat mengakses sertifikat di tingkat akun. Simpan sertifikat produksi Anda di akun terpisah dari sertifikat pengujian dan pengembangan Anda. Jika Anda tidak dapat menggunakan pemisahan tingkat akun, Anda dapat membatasi akses ke peran tertentu dengan menolak `kms:CreateGrant` tindakan dalam kebijakan Anda. Ini membatasi peran mana dalam akun yang dapat menandatangani sertifikat pada tingkat tinggi. *Untuk informasi tentang hibah, termasuk terminologi hibah, lihat [Hibah AWS KMS di Panduan Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html). AWS Key Management Service*

Jika Anda menginginkan kontrol yang lebih terperinci daripada membatasi penggunaan `kms:CreateGrant` berdasarkan akun, Anda dapat membatasi sertifikat tertentu `kms:CreateGrant` menggunakan [kms: EncryptionContext](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-encryption-context) tombol kondisi. Tentukan `arn:aws:acm` sebagai kunci, dan nilai ARN untuk membatasi. Contoh kebijakan berikut mencegah penggunaan sertifikat tertentu, tetapi mengizinkan orang lain.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
       {
           "Sid": "VisualEditor0",
           "Effect": "Deny",
           "Action": "kms:CreateGrant",
           "Resource": "*",
           "Condition": {
               "StringEquals": {
                   "kms:EncryptionContext:aws:acm:arn": "arn:aws:acm:us-east-1:{{111122223333}}:certificate/b26def74-1234-4321-9876-951d4c07b197"
               }
           }
       }
   ]
}
```

------

## AWS CloudFormation
<a name="best-practices-cloudformation"></a>

Dengan AWS CloudFormation Anda dapat membuat template yang menjelaskan AWS sumber daya yang ingin Anda gunakan. CloudFormationkemudian menyediakan dan mengonfigurasi sumber daya tersebut untuk Anda. CloudFormationdapat menyediakan sumber daya yang didukung oleh ACM seperti Elastic Load Balancing, Amazon, dan CloudFront Amazon API Gateway. Untuk informasi selengkapnya, lihat [Otomatisasi terkelola dengan layanan terintegrasi](acm-services.md).

Jika Anda menggunakannya CloudFormation untuk membuat dan menghapus beberapa lingkungan pengujian dengan cepat, sebaiknya Anda tidak membuat sertifikat ACM terpisah untuk setiap lingkungan. Melakukannya akan dengan cepat menghabiskan kuota sertifikat Anda. Untuk informasi selengkapnya, lihat [Kuota](acm-limits.md). Sebagai gantinya, buat sertifikat wildcard yang mencakup semua nama domain yang Anda gunakan untuk pengujian. Misalnya, jika Anda berulang kali membuat sertifikat ACM untuk nama domain yang bervariasi hanya berdasarkan nomor versi, misalnya {{<version>}}`.service.example.com`, buat sertifikat wildcard tunggal untuk. {{<\*>}} `.service.example.com`

**penting**  
Jika Anda menggunakan CloudFront distribusi Amazon, perhatikan bahwa validasi HTTP tidak mendukung sertifikat wildcard. Saat menyertakan sertifikat wildcard dalam CloudFormation template Anda untuk digunakan dengan Amazon CloudFront, Anda harus menggunakan validasi DNS atau validasi email. Kami merekomendasikan validasi DNS untuk kemampuan pembaruan otomatis.

Sertakan sertifikat wildcard dalam template yang CloudFormation digunakan untuk membuat lingkungan pengujian Anda.

## Toko Kepercayaan Kustom
<a name="best-practices-custom-trust-stores"></a>

 Untuk memastikan konektivitas ke titik akhir yang dilindungi oleh sertifikat ACM, kami merekomendasikan [akar Amazon](https://www.amazontrust.com/repository/) disertakan dalam toko kepercayaan khusus Anda. Otoritas sertifikat Amazon Root dapat mewakili berbagai jenis kunci dan algoritma. Starfield Services Root Certificate Authority - G2 adalah root lama yang kompatibel dengan toko kepercayaan lama lainnya dan klien yang tidak dapat diperbarui. Dengan menyertakan semua CA root, Anda akan dapat memastikan kompatibilitas maksimum untuk aplikasi Anda.

## Penyematan sertifikat
<a name="best-practices-pinning"></a>

Certificate pinning, kadang-kadang dikenal sebagai SSL pinning, adalah proses yang dapat Anda gunakan dalam aplikasi Anda untuk memvalidasi host jarak jauh dengan mengaitkan host tersebut secara langsung dengan X.509 sertifikat atau kunci publiknya, bukan dengan hierarki sertifikat. Oleh karena itu aplikasi menggunakan pinning untuk mem-bypass validasi rantai SSL/TLS sertifikat. Proses validasi SSL yang khas memeriksa tanda tangan di seluruh rantai sertifikat dari sertifikat root certificate authority (CA) melalui sertifikat CA bawahan, jika ada. Ini juga memeriksa sertifikat untuk host jarak jauh di bagian bawah hierarki. Aplikasi Anda dapat menyematkan ke sertifikat untuk host jarak jauh untuk mengatakan *bahwa hanya sertifikat itu* dan bukan sertifikat root atau lainnya dalam rantai yang dipercaya. Anda dapat menambahkan sertifikat host jarak jauh atau kunci publik ke aplikasi Anda selama pengembangan. Atau, aplikasi dapat menambahkan sertifikat atau kunci saat pertama kali terhubung ke host.

**Awas**  
Kami menyarankan agar aplikasi Anda **tidak** menyematkan sertifikat ACM. ACM melakukan [Perpanjangan sertifikat terkelola di AWS Certificate Manager](managed-renewal.md) untuk memperbarui Amazon-issued SSL/TLS sertifikat Anda secara otomatis sebelum kedaluwarsa. Untuk memperbarui sertifikat, ACM menghasilkan key pair public-private baru. Jika aplikasi Anda menyematkan sertifikat ACM dan sertifikat berhasil diperbarui dengan kunci publik baru, aplikasi mungkin tidak dapat terhubung ke domain Anda.

Jika Anda memutuskan untuk menyematkan sertifikat, opsi berikut tidak akan menghalangi aplikasi Anda untuk terhubung ke domain Anda:
+ [Impor sertifikat Anda sendiri](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) ke ACM dan kemudian pin aplikasi Anda ke sertifikat yang diimpor. ACM tidak mencoba memperbarui sertifikat yang diimpor secara otomatis.
+ Jika Anda menggunakan sertifikat publik, sematkan aplikasi Anda ke semua [sertifikat root Amazon](https://www.amazontrust.com/repository/) yang tersedia. Jika Anda menggunakan sertifikat pribadi, pin aplikasi Anda ke sertifikat akar CA.

## Validasi domain
<a name="best-practices-validating"></a>

Sebelum otoritas sertifikat Amazon (CA) dapat mengeluarkan sertifikat untuk situs Anda, AWS Certificate Manager (ACM) harus memverifikasi bahwa Anda memiliki atau mengontrol semua domain yang Anda tentukan dalam permintaan Anda. Anda dapat melakukan verifikasi menggunakan email atau DNS. Untuk informasi selengkapnya, lihat [AWS Certificate Manager Validasi DNSValidasi DNS](dns-validation.md) dan [AWS Certificate Manager validasi email](email-validation.md). 

## Menambahkan atau menghapus nama domain
<a name="best-practices-add-delete"></a>

Anda tidak dapat menambah atau menghapus nama domain dari sertifikat ACM yang ada. Sebagai gantinya, Anda harus meminta sertifikat baru dengan daftar nama domain yang direvisi. Misalnya, jika sertifikat Anda memiliki lima nama domain dan Anda ingin menambahkan empat lagi, Anda harus meminta sertifikat baru dengan sembilan nama domain. Seperti halnya sertifikat baru, Anda harus memvalidasi kepemilikan semua nama domain dalam permintaan, termasuk nama yang sebelumnya Anda validasi untuk sertifikat asli. 

Jika Anda menggunakan validasi email, Anda menerima hingga 8 pesan email validasi untuk setiap domain, setidaknya 1 di antaranya harus ditindaklanjuti dalam waktu 72 jam. Misalnya, ketika Anda meminta sertifikat dengan lima nama domain, Anda menerima hingga 40 pesan validasi, setidaknya 5 di antaranya harus ditindaklanjuti dalam waktu 72 jam. Karena jumlah nama domain dalam permintaan sertifikat meningkat, demikian juga pekerjaan yang diperlukan untuk menggunakan email untuk memvalidasi kepemilikan domain. 

Jika Anda menggunakan validasi DNS sebagai gantinya, Anda harus menulis satu catatan DNS baru ke database untuk FQDN yang ingin Anda validasi. ACM mengirimi Anda catatan untuk membuat dan kemudian menanyakan database untuk menentukan apakah catatan telah ditambahkan. Menambahkan catatan menegaskan bahwa Anda memiliki atau mengontrol domain. Dalam contoh sebelumnya, jika Anda meminta sertifikat dengan lima nama domain, Anda harus membuat lima catatan DNS. Kami menyarankan Anda menggunakan validasi DNS bila memungkinkan. 

## NyalakanAWS CloudTrail
<a name="best-practices-ct"></a>

Aktifkan CloudTrail logging sebelum Anda mulai menggunakan ACM. CloudTrail memungkinkan Anda memantau AWS penerapan dengan mengambil riwayat panggilan API untuk akun Anda, termasuk panggilan AWS API yang dilakukan melalui AWS Management Console, AWS SDKAWS Command Line Interface, dan Amazon Web Services tingkat tinggi. Anda juga dapat mengidentifikasi pengguna dan akun mana yang disebut ACM API, alamat IP sumber tempat panggilan dibuat, dan kapan panggilan terjadi. Anda dapat mengintegrasikan CloudTrail ke dalam aplikasi menggunakan API, mengotomatiskan pembuatan jejak untuk organisasi Anda, memeriksa status jejak Anda, dan mengontrol cara administrator mengaktifkan dan menonaktifkan CloudTrail log. Untuk informasi lebih lanjut, lihat [Membuat Jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html). Pergi ke [Menggunakan CloudTrail dengan AWS Certificate Manager](cloudtrail.md) untuk melihat contoh jejak untuk tindakan ACM. 