翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ACM でのサービスにリンクされたロール (SLR) の使用
AWS Certificate Manager は、 AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用して、 マネージド ACM 証明書の自動更新を有効にします。サービスにリンクされたロール (SLR) は、ACM のサービスに直接リンクされた一意のタイプの IAM ロールです。SLR は、ACM によって事前定義されており、ユーザーの代わりにサービスから他の AWS のサービスを呼び出す必要のあるアクセス許可がすべて含まれています。
SLR を使用すると、無人証明書の署名に必要なアクセス許可を手動で追加する必要がなくなるため、ACM の設定が簡単になります。ACM は、この SLR のアクセス許可を定義します。特に定義されている場合を除き、ACM のみがそのロールを引き受けることができます。定義されるアクセス許可は、信頼ポリシーとアクセス許可ポリシーに含まれており、そのアクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません。
SLR をサポートする他のサービスの情報ついては、[AWS Services That Work with IAM] (IAM と連携するサービス) を参照して、[Service-Linked Role] (サービスリンクロール) 列が[Yes] (はい) となっているサービスを探してください。SLR に関するドキュメントをサービスで表示するには、[はい] リンクを選択します。
ACM の SLR アクセス許可
ACM は、Amazon Certificate Manager サービスロールポリシーという名前の SLR を使用します。
AWSServiceRoleForCertificateManager SLR は、次のサービスを信頼してロールを引き受けます。
-
acm.amazonaws.com
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを ACM に許可します。
-
アクション:"*" での
acm-pca:IssueCertificate、acm-pca:GetCertificate
SLR の作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、IAM ユーザーガイドの「サービスリンクロールのアクセス許可」を参照してください。
重要
ACM では、アカウントに SLR が存在するかどうかを判断できないという警告が表示されることがあります。必要な iam:GetRole アクセス許可がすでにアカウントの ACM SLR に付与されている場合、SLR の作成後にアラートは再発しません。再発する場合は、管理者またはアカウント管理者が iam:GetRole アクセス許可を ACM に付与するか、アカウントを ACM 管理ポリシー AWSCertificateManagerFullAccess に関連付けます。
ACM の SLR の作成
ACM で使用する SLR を手動で作成する必要はありません。 AWS Management Console、、または AWS API を使用して ACM 証明書を発行すると、証明書に署名するプライベート CA を初めて選択したときに AWS CLI、ACM によって SLR が作成されます。
アカウントに SLR が存在するかどうかを ACM が判断できないというメッセージが表示された場合は、 AWS Private CA が必要とする読み取りアクセス許可がアカウントに付与されていない可能性があります。これにより、SLR のインストールが妨げられることはなく、証明書を発行することはできますが、問題を解決するまで ACM は証明書を自動的に更新できません。(詳細については、ACM サービスにリンクされたロールの問題 (SLR) を参照してください)。
重要
この SLR がアカウントに表示されるのは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合です。また、2017 年 1 月 1 日より前に ACM サービスを使用していた場合、SLRsのサポートが開始された時点で、ACM はアカウントに AWSServiceRoleForCertificateManager ロールを作成しました。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。
この SLR を削除した後で再度作成する必要がある場合は、次のいずれかの方法を使用できます。
-
IAM コンソールで、ロール 、ロール を作成する、 Certificate Manager を選択して、CertificateManagerServiceRolePolicyユースケースで新しいロールを作成します。
-
IAM API CreateServiceLinkedRoleまたは対応する AWS CLI コマンド を使用してcreate-service-linked-role、
acm.amazonaws.comサービス名で SLR を作成します。
詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。
ACM の SLR の編集
ACM では、 AWSServiceRoleForCertificateManager サービスにリンクされたロールを編集することはできません。ロールは多くのエンティティにより参照されるため、SLR を作成した後、ロールの名前を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、IAM ユーザーガイドの「サービスリンクロールの編集」を参照してください。
ACM の SLR の削除
通常、 AWSServiceRoleForCertificateManager SLR を削除する必要はありません。ただし、IAM コンソール、、 AWS CLI または AWS API を使用して、ロールを手動で削除できます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。
ACM SLR でサポートされるリージョン
ACM AWS Private CA は、ACM と の両方が利用可能なすべてのリージョンで SLRs の使用をサポートします。詳細については、「AWS リージョンとエンドポイント」を参照してください。
| リージョン名 | リージョン識別子 | ACM のサポート |
|---|---|---|
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国東部 (オハイオ) | us-east-2 | はい |
| 米国西部 (北カリフォルニア) | us-west-1 | はい |
| 米国西部 (オレゴン) | us-west-2 | はい |
| アジアパシフィック (ムンバイ) | ap-south-1 | はい |
| アジアパシフィック (大阪) | ap-northeast-3 | はい |
| アジアパシフィック (ソウル) | ap-northeast-2 | はい |
| アジアパシフィック (シンガポール) | ap-southeast-1 | はい |
| アジアパシフィック (シドニー) | ap-southeast-2 | はい |
| アジアパシフィック (東京) | ap-northeast-1 | はい |
| カナダ (中部) | ca-central-1 | はい |
| 欧州 (フランクフルト) | eu-central-1 | はい |
| 欧州 (チューリッヒ) | eu-central-2 | はい |
| 欧州 (アイルランド) | eu-west-1 | はい |
| 欧州 (ロンドン) | eu-west-2 | はい |
| 欧州 (パリ) | eu-west-3 | はい |
| 南米 (サンパウロ) | sa-east-1 | はい |
| AWS GovCloud (米国西部) | us-gov-west-1 | はい |
| AWS GovCloud (米国東部) 東部 | us-gov-east-1 | はい |
