IAM ユーザーのシングルアカウントアクセス許可を作成する - AWS Private Certificate Authority

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM ユーザーのシングルアカウントアクセス許可を作成する

CA 管理者 (つまり CA の所有者) と証明書発行者が 1 つの AWS アカウントに存在する場合、アクセス許可が制限された AWS Identity and Access Management (IAM) ユーザーを作成して発行者と管理者のロールを分離するのがベストプラクティスです。IAM で を使用する方法とアクセス許可の例については AWS Private CA、「」を参照してくださいのアイデンティティとアクセス管理 (IAM) AWS Private Certificate Authority

単一アカウントのケース 1: アンマネージド証明書の発行

この場合、アカウント所有者はプライベート CA を作成し、プライベート CA によって署名された証明書を発行するアクセス許可を持つIAMユーザーを作成します。IAM ユーザーは を呼び出して証明書を発行します AWS Private CA IssueCertificateAPI。

アンマネージド証明書の発行

この方法で発行された証明書は管理されません。つまり、管理者は証明書をエクスポートして、使用する予定のデバイスにインストールする必要があります。また、有効期限が切れたら手動で更新する必要があります。これを使用して証明書を発行するには、Open または同様のプログラム AWS Private CA によって の外部で生成される証明書署名リクエスト (CSR) SSLとキーペアAPIが必要です。詳細については、「IssueCertificate ドキュメント」を参照してください。

単一アカウントケース 2: による管理証明書の発行 ACM

この 2 番目のケースには、 ACMと の両方からのAPIオペレーションが含まれますPCA。アカウント所有者は、前述のようにプライベート CA とIAMユーザーを作成します。次に、アカウント所有者は、この CA によって署名された証明書を自動的に更新するアクセス許可をサービスプリンシパルに付与します。 ACMIAM ユーザーは証明書を再度発行しますが、今回は APICSRと キー生成を処理する ACM RequestCertificate を呼び出します。証明書の有効期限が切れると、 は更新ワークフローACMを自動化します。

マネージド証明書の発行

アカウント所有者は、CA の作成中または作成後、または PCA CreatePermission を使用して、管理コンソールを通じて更新許可を付与することができますAPI。このワークフローから作成されたマネージド証明書は、 と統合されている AWS のサービスで使用できますACM。

以下のセクションには、更新許可を付与する手順があります。

に証明書更新アクセス許可を割り当てる ACM

AWS Certificate Manager (ACM) のマネージド更新を使用すると、パブリック証明書とプライベート証明書の両方の証明書更新プロセスを自動化できます。ACM がプライベート CA によって生成された証明書を自動的に更新するには、ACMサービスプリンシパルに CA 自体 によって可能なすべてのアクセス許可を付与する必要があります。これらの更新アクセス許可が に存在しない場合ACM、CA の所有者 (または認可された代理人) は、有効期限が切れたときに各プライベート証明書を手動で再発行する必要があります。

重要

更新許可を割り当てるためのこの手順は、CA 所有者と証明書発行者が同じ AWS アカウントに存在する場合にのみ適用されます。クロスアカウントのシナリオについては、「クロスアカウントアクセスのポリシーをアタッチする」を参照してください。

更新のアクセス許可は、 プライベート CA の作成 中に委任することができ、CA が ACTIVE 状態である限り、いつでも変更できます。

プライベート CA アクセス許可は、AWS Private CA コンソール AWS Command Line Interface (AWS CLI)、または から管理できますAWS Private CA API

にプライベート CA アクセス許可を割り当てるには ACM (コンソール)
  1. AWS アカウントにサインインし、https://console.aws.amazon.com/acm-pca/ホーム で AWS Private CA コンソールを開きます。

  2. [プライベート認証機関] ページで、リストからプライベート CA を選択します。

  3. [アクション][CA 許可の設定] を選択します。

  4. このアカウント によってリクエストされた証明書を更新するには、ACMアクセスを許可する を選択します。

  5. [Save] を選択します。

AWS Private CA (AWS CLI) でACMアクセス許可を管理するには

create-permission コマンドを使用して、 にアクセス許可を割り当てますACM。証明書ACMを自動的に更新するには、 に必要なアクセス許可 (IssueCertificateGetCertificateListPermissions) を割り当てる必要があります。

$ aws acm-pca create-permission \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \ --actions IssueCertificate GetCertificate ListPermissions \ --principal acm.amazonaws.com

CA によって委任されたアクセス許可 を一覧表示するには、[list-permissions] コマンドを使用します。

$ aws acm-pca list-permissions \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID

delete-permission コマンドを使用して、CA によって AWS サービスプリンシパルに割り当てられたアクセス許可を取り消します。

$ aws acm-pca delete-permission \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \ --principal acm.amazonaws.com