IAM ユーザーのシングルアカウントアクセス許可を作成する - AWS Private Certificate Authority
更新許可の割り当て

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM ユーザーのシングルアカウントアクセス許可を作成する

CA 管理者 (つまり CA の所有者) と証明書発行者が 1 つの AWS アカウントに存在する場合、ベストプラクティスは、アクセス許可が制限された AWS Identity and Access Management (IAM) ユーザーを作成して発行者と管理者ロールを分離することです。IAM で を使用する方法とアクセス許可の例については AWS Private CA、「」を参照してくださいの Identity and Access Management (IAM) AWS Private Certificate Authority

単一アカウントのケース 1: アンマネージド証明書の発行

この場合、アカウント所有者はプライベート CA を作成し、プライベート CA によって署名された証明書を発行するアクセス許可を持つIAMユーザーを作成します。IAM ユーザーは を呼び出して証明書を発行します AWS Private CA IssueCertificateAPI。

アンマネージド証明書の発行

この方法で発行された証明書は管理されません。つまり、管理者は証明書をエクスポートして、使用する予定のデバイスにインストールする必要があります。また、有効期限が切れたら手動で更新する必要があります。これを使用して証明書を発行するには、Open または同様のプログラム AWS Private CA によって の外部で生成される証明書署名リクエスト (CSR) SSLとキーペアAPIが必要です。詳細については、「IssueCertificate ドキュメント」を参照してください。

単一アカウントケース 2: によるマネージド証明書の発行 ACM

この 2 番目のケースには、 ACMと の両方からのAPIオペレーションが含まれますPCA。アカウント所有者は、以前と同じようにプライベート CA とIAMユーザーを作成します。次に、アカウント所有者は、この CA によって署名された証明書を自動的に更新するアクセス許可をサービスプリンシパルに付与します。 ACMIAM ユーザーは証明書を再度発行しますが、今回は CSRと キーの生成APIを処理する ACM RequestCertificate を呼び出します。証明書の有効期限が切れると、 は更新ワークフローACMを自動化します。

マネージド証明書の発行

アカウント所有者は、CA の作成中または作成後に、または PCA CreatePermission を使用して、 マネジメントコンソールを通じて更新許可を付与することができますAPI。このワークフローから作成されたマネージド証明書は、 と統合された AWS のサービスで使用できますACM。

以下のセクションには、更新許可を付与する手順があります。

証明書の更新許可を に割り当てる ACM

AWS Certificate Manager (ACM) のマネージド更新を使用すると、パブリック証明書とプライベート証明書の両方の証明書更新プロセスを自動化できます。ACM がプライベート CA によって生成された証明書を自動的に更新するには、ACMサービスプリンシパルに CA 自体によって可能なすべてのアクセス許可が付与されている必要があります。これらの更新許可が に存在しない場合ACM、CA の所有者 (または認可された担当者) は、有効期限が切れたときに各プライベート証明書を手動で再発行する必要があります。

重要

更新許可を割り当てる手順は、CA 所有者と証明書発行者が同じ AWS アカウントに存在する場合にのみ適用されます。クロスアカウントのシナリオについては、「クロスアカウントアクセスのポリシーをアタッチする」を参照してください。

更新のアクセス許可は、 プライベート CA の作成 中に委任することができ、CA が ACTIVE 状態である限り、いつでも変更できます。

プライベート CA アクセス許可は、AWS Private CA コンソール AWS Command Line Interface (AWS CLI)、または から管理できますAWS Private CA API

プライベート CA アクセス許可を に割り当てるには ACM (コンソール)

  1. AWS アカウントにサインインし、https://console.aws.amazon.com/acm-pca/ホーム で AWS Private CA コンソールを開きます。

  2. [プライベート認証機関] ページで、リストからプライベート CA を選択します。

  3. [アクション][CA 許可の設定] を選択します。

  4. このアカウント によってリクエストされた証明書を更新するには、ACMアクセスを許可する を選択します

  5. [Save] を選択します。

AWS Private CA (AWS CLI) でACMアクセス許可を管理するには

create-permission コマンドを使用して、 にアクセス許可を割り当てますACM。が証明書を自動的に更新するにはGetCertificate、必要なアクセス許可 (IssueCertificate、ACM、および ListPermissions) を割り当てる必要があります。

$ aws acm-pca create-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --actions IssueCertificate GetCertificate ListPermissions \
     --principal acm.amazonaws.com

CA によって委任されたアクセス許可 を一覧表示するには、[list-permissions] コマンドを使用します。

$ aws acm-pca list-permissions \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID

delete-permission コマンドを使用して、CA によって AWS サービスプリンシパルに割り当てられたアクセス許可を取り消します。

$ aws acm-pca delete-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --principal acm.amazonaws.com