AWS Certificate Manager
ユーザーガイド (Version 1.0)

ACM プライベートキーのセキュリティ

パブリック証明書をリクエストすると、AWS Certificate Manager (ACM) はパブリックキーとプライベートキーペアを生成します。 インポートされた証明書 の場合、キーペアが生成されます。このパブリックキーは証明書の一部になります。ACM は、この証明書および該当するプライベートキーを保存し、AWS Key Management Service (AWS KMS) を使用してプライベートキーの保護に役立ちます。このプロセスの動作は次のようになります。

  1. AWS リージョンに初めて証明書をリクエストまたはインポートする場合、ACM はエイリアス aws/acm を使用して、AWS が管理するカスタマーマスターキー (CMK) を AWS KMS に作成します。この CMK は、各 AWS アカウントおよび各 AWS リージョンごとに一意となります。

  2. ACM はこの CMK を使用して証明書のプライベートキーを暗号化します。ACM はこのプライベートキーの暗号化されたバージョンのみを保存します。(ACM はプライベートキーをプレーンテキストで保存しません)。ACM は同じ CMK を使用して、特定の AWS アカウントおよび特定の AWS リージョンですべての証明書のプライベートキーを暗号化します。

  3. 証明書を AWS Certificate Manager と統合されたサービスに関連付けると、ACM は証明書と暗号化されたプライベートキーをサービスに送信します。また、サービスが AWS KMS で CMK を使用してその証明書のプライベートキーを復号化できるように、AWS KMS に暗黙的に許可を作成します。許可の詳細については、AWS Key Management Service Developer Guideの「許可の使用」を参照してください。ACM でサポートされているサービスの詳細については、「サービスと AWS Certificate Manager の統合」を参照してください。

  4. 統合サービスは、AWS KMS の CMK を使用してプライベートキーを復号化します。続いて、サービスは、証明書と復号された (プレーンテキスト) プライベートキーを使用してクライアントと安全な通信チャネル (SSL/TLS セッション) を確立します。

  5. 証明書と統合サービスとの関連付けが解除されると、ステップ 3 で作成された権限は廃止されます。つまり、サービスは AWS KMS の CMK を使用して証明書のプライベートキーを復号できなくなります。