亚马逊云科技推出Matter公钥基础设施（Public Key Infrastructure,PKI）合规指导手册，帮助客户使用Amazon Private Certificate Authority（Amazon Private CA）证书服务构建符合Matter要求的PKI证书体系，加快客户Matter认证产品的推出。Matter是CSA国际组织连接标准联盟以及成员发布的设备连接标准协议，具有Matter认证的IoT设备可实现跨品牌的互联互通，目前已成为全球IoT物联网领域关注的焦点。 

 

什么是Matter认证？

Matter是连接标准联盟（CSA联盟）创建的一种新协议，允许不同供应商的智能家居设备互联工作，依托名为设备认证证书（DAC）的数字证书，来验证智能家居网络中的设备是否已通过Matter认证。对于创建符合Matter标准的证书颁发机构（CA）并签发DAC证书的任何人，CSA联盟都有特殊要求。

CSA联盟允许使用授权服务提供商（DSP）为客户提供公钥基础设施（PKI）服务，以此来创建客户符合Matter标准的CA。客户可使用Amazon Private Certificate Authority作为DSP来创建符合Matter标准的CA，并签发DAC证书。本指南旨在为客户提供信息以帮助客户规划Matter CA并证明该CA对于CSA联盟Matter PKI证书策略（CP）的合规性，其中包括了可帮助客户满足Matter PKI CP合规性的控制责任、制定证据收集计划以满足Matter PKI评估测试流程、以及向CSA联盟说明控制的实施方法。

当客户使用Amazon Private CA提供的CA基础设施服务来签发Matter证书时，应详细制定实施计划，并证明其符合CSA联盟对于Matter PKI CP的要求。Matter PKI CP不仅仅是个技术标准，它涵盖了人员、流程和技术。

 

使用Amazon Private CA

来满足Matter PKI CP的要求

Amazon Private CA是个DSP，为客户创建Matter CA提供CA基础设施服务。Amazon Private CA已获得国际标准化组织（ISO）27001认证和系统和组织控制2（SOC2）II类认证，这满足CSA联盟的要求。客户可以使用Amazon Private CA来创建符合Matter PKI CP要求的CA，并签发具备适当配置的DAC证书。作为DSP，Amazon Private CA对CSA联盟Matter PKI CP中的部分要求负责，但这并不意味着使用Amazon Private CA便会自动具备合规性，因此客户有责任确保自己遵守Matter PKI CP的要求，包括针对所使用的必要或适用服务实施安全控制措施。

客户可进一步使用亚马逊云科技的安全性、身份认证和合规性服务，包括Amazon Identity and Access Management (IAM)、Amazon CloudWatch、Amazon CloudTrail和Amazon Time Sync Service等，来使客户的Matter CA满足Matter PKI CP的合规性要求。此外，Amazon Private CA还提供示例Amazon Cloud Development Kit（CDK）脚本和示例Amazon CloudFormation堆栈模板，来帮助客户搭建满足2022年12月19日发布的Matter PKI CP要求的Matter CA。

 

亚马逊云科技责任共担模型

确保CSA联盟Matter PKI的安全性是客户和Amazon Private CA的共同责任。这种责任共担模型有助于减轻客户的运营负担，这是因为亚马逊云科技运营、管理和控制从Amazon Private CA服务自身到该服务运行所依托设备的物理安全性的各个环节，所以客户仅需承担使用Amazon Private CA的相关责任和管理工作，如逻辑访问控制和其他技术设置（比如加密、日志、日志数据备份）等。

该责任共担模型也扩展到了信息技术（IT）控制措施上。正如IT环境的运营责任由客户和Amazon Private CA共同承担，IT控制措施的管理、运营和验证的责任也是由双方共同承担。例如，Amazon Private CA服务可以帮助客户减轻物理基础设施相关的运营控制负担，这是因为Amazon Private CA部署于亚马逊云科技的物理环境中，该物理基础设施环境并不由客户进行管理。客户可以使用亚马逊云科技的控制和合规性文件，如亚马逊云科技SOC 2 Type 2报告等，来执行相关的控制评估和验证流程。

客户必须理解CSA联盟的Matter PKI CP中的要求，这一点至关重要。维护Amazon Private CA之上的Matter CA环境并能证明其符合Matter要求是客户的责任，包括那些未在亚马逊云科技上托管的CA系统组件，例如用于远程连接到Amazon Private CA的工作站等。客户应准备一份完整而准确的说明，说明各个CA及其关系，以及确定CA结构的理由，来帮助规划和证明Matter PKI CP的合规性。例如，Matter PKI CP合规性的评估要求会根据客户的CA是供应商ID（VID）—Scoped的产品认证机构（PAA）还是非VID-Scoped的PAA而变化。图1展示了客户如何使用Amazon Private CA并配合客户自身的控制措施来满足Matter PKI CP的要求。

 

Amazon Private CA 服务的优势

客户使用Amazon Private CA服务可按需付费，大幅降低获得Matter认证的成本。同时，Amazon Private CA服务可减少客户在搭建和运营符合Matter标准的CA系统上的工作量。此外，该服务提供安全的证书管理能力，为托管于其中的CA证书提供强大的安全性，如使用Fips 140-2硬件设备来保护CA证书的私钥，使用Amazon IAM进行细粒度的访问控制以及使用Amazon Cloudtrail对Amazon Private CA的操作进行详细的审计等。