クロスアカウントアクセスのポリシーをアタッチする

CA 管理者と証明書発行者が異なる AWS アカウントに属している場合、CA 管理者は CA アクセスを共有する必要があります。これは CA にリソースベースのポリシーをアタッチすることでできます。このポリシーは、 AWS アカウント所有者、IAM ユーザー、 AWS Organizations ID、または組織単位 ID である特定のプリンシパルに発行許可を付与します。

CA 管理者は、次の方法でポリシーをアタッチおよび管理できます。

• 管理コンソールでは、 AWS Resource Access Manager (RAM) を使用します。これは、アカウント間で AWS リソースを共有するための標準的な方法です。で CA リソースを別のアカウントの AWS RAM プリンシパルと共有すると、必要なリソースベースのポリシーが CA に自動的にアタッチされます。RAM の詳細については、「AWS RAM ユーザーガイド」を参照してください。

  注記

  CA を選択し、[アクション]、[リソース共有を管理] の順に選択すると、RAM コンソールを簡単に開くことができます。

• プログラムにより、PCA APIs 、PutPolicy、GetPolicyおよび を使用しますDeletePolicy。

• AWS CLIで PCA コマンドの put-policy、get-policy、delete-policy を手動で使用する。

RAM アクセスが必要なのはコンソール方式だけです。

クロスアカウントのケース 1: コンソールからマネージド証明書を発行する

この場合、CA 管理者は AWS Resource Access Manager （AWS RAM) を使用して CA アクセスを別の AWS アカウントと共有します。これにより、そのアカウントはマネージド ACM 証明書を発行できます。この図は、 が CA をアカウントと直接共有することも、アカウントがメンバーである AWS Organizations ID を介して間接的に共有 AWS RAM することもできます。

RAM が を介してリソースを共有した後 AWS Organizations、受信者プリンシパルはリソースを承諾して有効にする必要があります。受信者は、オファーされた共有を自動的に受け入れ AWS Organizations るように を設定できます。

注記

受信者アカウントは、ACM での自動更新の設定を行います。通常、共有 CA を初めて使用するときに、ACM は、 AWS Private CAでの自動の証明書呼び出しを許可する、サービスにリンクされたロールをインストールします。これが失敗した場合 (通常は許可がないことが原因)、CA からの証明書は自動的には更新されません。この問題を解決できるのは ACM ユーザーだけで、CA 管理者は解決できません。詳細については、「ACM でのサービスにリンクされたロール (SLR) の使用」を参照してください。

クロスアカウントのケース 2: API または CLI を使用してマネージド証明書およびアンマネージド証明書を発行する

この 2 番目のケースは、 および AWS Private CA API を使用して可能な共有オプション AWS Certificate Manager と発行オプションを示しています。これらのオペレーションはすべて、対応する AWS CLI コマンドを使用して実行することもできます。

この例では API オペレーションを直接使用しているため、証明書発行者は証明書を発行する際に 2 つの API オペレーションから選択できます。PCA API アクション IssueCertificate を実行すると、自動的に更新されず、エクスポートして手動でインストールする必要があるアンマネージド証明書が作成されます。ACM API アクションにより、ACM 統合サービスに簡単にインストールでき、自動的に更新できるマネージド証明書RequestCertificateが作成されます。

注記

受信者アカウントは、ACM での自動更新の設定を行います。通常、共有 CA を初めて使用するときに、ACM は、 AWS Private CAでの自動の証明書呼び出しができるようになる、サービスにリンクされたロールをインストールします。これが失敗した場合 (通常は許可がないことが原因)、CA からの証明書は自動的には更新されず、この問題を解決できるのは ACM ユーザーだけで、CA 管理者は解決できません。詳細については、「ACM でのサービスにリンクされたロール (SLR) の使用」を参照してください。