翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の Identity and Access Management (IAM) AWS Private Certificate Authority
へのアクセスには AWS 、 がリクエストの認証に使用できる認証情報 AWS Private CA が必要です。以下のトピックでは、プライベート CA をセキュリティで保護するために AWS Identity and Access Management (IAM) を使用してプライベート認証機関 (CA) にアクセスできるユーザーを管理する方法について詳しく説明します。
では AWS Private CA、使用するプライマリリソースは認証局 (CA) です。所有または管理する各プライベート CA は、Amazon リソースネーム (ARN) によって識別され、その形式は次のとおりです。
arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
リソース所有者は、 AWS リソースが作成される AWS アカウントのプリンシパルエンティティです。以下は、この仕組みを説明する例です。
-
の認証情報を使用してプライベート CA AWS アカウントのルートユーザー を作成する場合、アカウント AWS は CA を所有します。
重要
-
を使用して CAs AWS アカウントのルートユーザー を作成することはお勧めしません。
-
にアクセスするときはいつでも多要素認証 (MFA) を使用することを強くお勧めします AWS Private CA。
-
-
AWS アカウントに IAM ユーザーを作成する場合、プライベート CA を作成するアクセス許可をそのユーザーに付与できます。ただし、そのユーザーが所属するアカウントが CA を所有しています。
-
AWS アカウントに IAM ロールを作成し、プライベート CA を作成するアクセス許可を付与すると、ロールを引き受けることのできるいずれのユーザーも CA を作成できます。ただし、そのロールが所属するアカウントがプライベート CA を所有します。
アクセスポリシーは、誰が何に対するアクセス権を持っているのかを説明します。以下のディスカッションで、アクセス許可のポリシーを作成するために使用可能なオプションについて説明します。
注記
このドキュメントでは、 のコンテキストでの IAM の使用について説明します AWS Private CA。これは、IAM サービスに関する詳細情報を取得できません。完全な IAM ドキュメントについては、「IAM ユーザーガイド」を参照してください。IAM ポリシー構文の詳細および説明については、「AWS IAM ポリシーの参照」を参照してください。