CEVIU Logo
Voltar
AWS Certificate Manager agora suporta protocolo ACME para automatizar emissão de certificados TLS públicos

AWS Certificate Manager agora suporta protocolo ACME para automatizar emissão de certificados TLS públicos

Aprofundamento CEVIU

Aprofundamento

O suporte ao protocolo ACME no AWS Certificate Manager (ACM) é uma mudança estrutural para quem gerencia certificados TLS em escala. Lançado oficialmente em 30 de junho de 2026, o recurso traz um endpoint ACMEv2 totalmente gerenciado pela AWS, compatível com clientes como Certbot, cert-manager e acme.sh, sem exigir mudanças na infraestrutura existente. Diferentemente do Let’s Encrypt ou de CAs externas, o ACM agora emite certificados públicos assinados pelo Amazon Trust Services, com validade máxima de 45 dias (alinhada às novas regras do CA/Browser Forum), e integra governança nativa: domínios são validados uma única vez pelo administrador de PKI via DNS (com automação nativa no Route 53), e os clientes só precisam se autenticar com credenciais EAB vinculadas a funções IAM, sem acesso a chaves DNS nem permissão implícita para qualquer domínio.

Isso resolve dois problemas críticos: fragmentação operacional (antes, certificados gerenciados no ACM coexistiam com outros emitidos externamente, sem visibilidade unificada) e risco de expiração. Com a redução progressiva da validade para 100 dias em março de 2027 e 47 dias em 2029, manter 1.000 certificados manualmente exigiria ~21 renovações diárias. A automação via ACME no ACM elimina esse gargalo, com auditoria completa via CloudTrail, métricas em CloudWatch e notificações de expiração integradas, tudo no mesmo console onde já se gerenciam certificados via API, CLI ou interface.

Por que isso importa

Essa atualização importa porque transforma o ACM de um serviço de provisionamento estático em uma plataforma de política de certificação ativa. Antes, controle de escopo de domínio (exato, subdomínios, wildcards) só existia para certificados solicitados via console ou API. Agora, ele é aplicável diretamente no endpoint ACME, permitindo, por exemplo, bloquear wildcards em ambientes de produção enquanto autoriza subdomínios em staging, tudo com IAM. Isso elimina a necessidade de ferramentas de terceiros ou camadas personalizadas de policy enforcement, que antes eram obrigatórias para atender a requisitos de conformidade como PCI-DSS ou LGPD. O custo também muda: certificados ACME são cobrados por emissão e renovação (não por tempo de vida), com tiers baseados no volume mensal de nomes de domínio, e há um limite gratuito inicial de 30.000 chamadas ACME por conta.

Impacto para desenvolvedores

Para desenvolvedores e equipes de SRE, o impacto é prático: você pode usar cert-manager em clusters EKS sem depender de Let’s Encrypt ou de scripts personalizados para DNS challenge. Basta apontar o client para o endpoint ACME do ACM, registrar com EAB e solicitar certificados, o restante (validação, renovação, rotação) é feito automaticamente. Não há mais necessidade de gerenciar contas externas, tokens de API ou credenciais de DNS em segredos do cluster. A nova funcionalidade também se alinha com o Workload Credentials Provider, lançado em 11 de junho de 2026, que automatiza a distribuição desses certificados exportáveis para cargas de trabalho fora da AWS. Para quem usa Terraform ou CDK, a integração já está documentada na AWS com recursos nativos como aws_acm_acme_endpoint e aws_acm_acme_account.

Perguntas frequentes

O que é o suporte ACME no AWS Certificate Manager?

É uma funcionalidade lançada em 30 de junho de 2026 que permite emitir e renovar certificados TLS públicos no ACM usando o protocolo ACMEv2. Funciona com clientes como Certbot, cert-manager e acme.sh, e integra governança centralizada via IAM, escopos de domínio e validação DNS gerenciada.

Quando o suporte ACME no ACM foi lançado?

Foi anunciado e disponibilizado oficialmente em 30 de junho de 2026. Está disponível em todas as regiões comerciais da AWS desde essa data, com previsão de expansão para AWS GovCloud (US), regiões da China e AWS European Sovereign Cloud em datas futuras ainda não divulgadas.

Qual é a validade dos certificados ACME no ACM?

Os certificados públicos emitidos via ACME no ACM têm validade máxima de 45 dias, alinhada às diretrizes do CA/Browser Forum para redução progressiva da duração. Isso exige renovação frequente, mas a automação via ACME garante que isso ocorra sem intervenção manual.

Como funciona o controle de acesso para certificados ACME no ACM?

O administrador de PKI cria um endpoint ACME e vincula funções IAM a contas ACME usando External Account Binding (EAB). Isso define quais domínios cada cliente pode solicitar, com escopos configuráveis (exato, subdomínios, wildcards) no nível do endpoint, sem compartilhar credenciais de DNS com times de aplicação.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU DevOps
Publicado
01 de julho de 2026
Editoria
CEVIU DevOps

Quer receber mais sobre CEVIU DevOps?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser