翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
プライベートへのクロスアカウントアクセスのセキュリティのベストプラクティス CAs
AWS Private CA 管理者は、別の AWS アカウント のプリンシパル (ユーザー、ロールなど) と CA を共有できます。共有が受信および承諾されると、プリンシパルは CA を使用して、 AWS Private CA または AWS Certificate Manager リソースを使用してエンドエンティティ証明書を発行できます。プリンシパルは CA を使用して、 を使用して下位 CA 証明書を発行できます AWS Private CA。
重要
クロスアカウントシナリオで発行された証明書に関連する料金は、証明書を発行する AWS アカウントに請求されます。
CA へのアクセスを共有するには、 AWS Private CA 管理者は次のいずれかの方法を選択できます。
-
AWS Resource Access Manager (RAM) を使用して、CA をリソースとして別の アカウントのプリンシパルまたは と共有します AWS Organizations。RAM は、アカウント間で AWS リソースを共有するための標準的な方法です。の詳細についてはRAM、「 AWS RAM ユーザーガイド」を参照してください。の詳細については AWS Organizations、「 AWS Organizations ユーザーガイド」を参照してください。
-
または AWS Private CA APICLIを使用してリソースベースのポリシーを CA にアタッチし、別のアカウントのプリンシパルにアクセスを許可します。詳細については、「リソースベースのポリシー」を参照してください。
このガイドの プライベート CA へのアクセスの制御セクションでは、シングルアカウントシナリオとクロスアカウントシナリオCAsの両方で へのアクセスを許可するためのワークフローについて説明します。
