翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM ユーザーのシングルアカウントアクセス許可を作成する
CA 管理者 (つまり CA の所有者) と証明書発行者が 1 つの AWS アカウントに存在する場合、アクセス許可が制限された AWS Identity and Access Management (IAM) ユーザーを作成して発行者と管理者のロールを分離するのがベストプラクティスです。IAM で を使用する方法とアクセス許可の例については AWS Private CA、「」を参照してくださいのアイデンティティとアクセス管理 (IAM) AWS Private Certificate Authority。
単一アカウントのケース 1: アンマネージド証明書の発行
この場合、アカウント所有者はプライベート CA を作成し、プライベート CA によって署名された証明書を発行するアクセス許可を持つIAMユーザーを作成します。IAM ユーザーは を呼び出して証明書を発行します AWS Private CA IssueCertificate
API。
この方法で発行された証明書は管理されません。つまり、管理者は証明書をエクスポートして、使用する予定のデバイスにインストールする必要があります。また、有効期限が切れたら手動で更新する必要があります。これを使用して証明書を発行するには、Open または同様のプログラム AWS Private CA によって の外部で生成される証明書署名リクエスト (CSR) SSLIssueCertificate
ドキュメント」を参照してください。
単一アカウントケース 2: による管理証明書の発行 ACM
この 2 番目のケースには、 ACMと の両方からのAPIオペレーションが含まれますPCA。アカウント所有者は、前述のようにプライベート CA とIAMユーザーを作成します。次に、アカウント所有者は、この CA によって署名された証明書を自動的に更新するアクセス許可をサービスプリンシパルに付与します。 ACMIAM ユーザーは証明書を再度発行しますが、今回は APICSRと キー生成を処理する ACM RequestCertificate
を呼び出します。証明書の有効期限が切れると、 は更新ワークフローACMを自動化します。
アカウント所有者は、CA の作成中または作成後、または PCA CreatePermission
を使用して、管理コンソールを通じて更新許可を付与することができますAPI。このワークフローから作成されたマネージド証明書は、 と統合されている AWS のサービスで使用できますACM。
以下のセクションには、更新許可を付与する手順があります。
に証明書更新アクセス許可を割り当てる ACM
AWS Certificate Manager (ACM) のマネージド更新を使用すると、パブリック証明書とプライベート証明書の両方の証明書更新プロセスを自動化できます。ACM がプライベート CA によって生成された証明書を自動的に更新するには、ACMサービスプリンシパルに CA 自体 によって可能なすべてのアクセス許可を付与する必要があります。これらの更新アクセス許可が に存在しない場合ACM、CA の所有者 (または認可された代理人) は、有効期限が切れたときに各プライベート証明書を手動で再発行する必要があります。
重要
更新許可を割り当てるためのこの手順は、CA 所有者と証明書発行者が同じ AWS アカウントに存在する場合にのみ適用されます。クロスアカウントのシナリオについては、「クロスアカウントアクセスのポリシーをアタッチする」を参照してください。
更新のアクセス許可は、 プライベート CA の作成 中に委任することができ、CA が ACTIVE
状態である限り、いつでも変更できます。
プライベート CA アクセス許可は、AWS Private CA コンソール
にプライベート CA アクセス許可を割り当てるには ACM (コンソール)
-
AWS アカウントにサインインし、https://console.aws.amazon.com/acm-pca/ホーム
で AWS Private CA コンソールを開きます。 -
[プライベート認証機関] ページで、リストからプライベート CA を選択します。
-
[アクション]、[CA 許可の設定] を選択します。
-
このアカウント によってリクエストされた証明書を更新するには、ACMアクセスを許可する を選択します。
-
[Save] を選択します。
AWS Private CA (AWS CLI) でACMアクセス許可を管理するには
create-permission コマンドを使用して、 にアクセス許可を割り当てますACM。証明書ACMを自動的に更新するには、 に必要なアクセス許可 (IssueCertificate
、GetCertificate
、ListPermissions
) を割り当てる必要があります。
$
aws acm-pca create-permission \ --certificate-authority-arn arn:aws:acm-pca:
region
:account
:certificate-authority/CA_ID
\ --actionsIssueCertificate
GetCertificate
ListPermissions
\ --principal acm.amazonaws.com
CA によって委任されたアクセス許可 を一覧表示するには、[list-permissions] コマンドを使用します。
$
aws acm-pca list-permissions \ --certificate-authority-arn arn:aws:acm-pca:
region
:account
:certificate-authority/CA_ID
delete-permission コマンドを使用して、CA によって AWS サービスプリンシパルに割り当てられたアクセス許可を取り消します。
$
aws acm-pca delete-permission \ --certificate-authority-arn arn:aws:acm-pca:
region
:account
:certificate-authority/CA_ID
\ --principal acm.amazonaws.com