の Identity and Access Management (IAM) AWS Private Certificate Authority

へのアクセスには AWS 、 がリクエストの認証に使用できる認証情報 AWS Private CA が必要です。以下のトピックでは、プライベート CA をセキュリティで保護するために AWS Identity and Access Management (IAM) を使用してプライベート認証機関 (CA) にアクセスできるユーザーを管理する方法について詳しく説明します。

では AWS Private CA、使用するプライマリリソースは認証局 (CA) です。所有または管理する各プライベート CA は、Amazon リソースネーム (ARN) によって識別され、その形式は次のとおりです。

arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566

リソース所有者は、 AWS リソースが作成される AWS アカウントのプリンシパルエンティティです。以下は、この仕組みを説明する例です。

• の認証情報を使用してプライベート CA AWS アカウントのルートユーザー を作成する場合、アカウント AWS は CA を所有します。

  重要

  • を使用して CAs AWS アカウントのルートユーザー を作成することはお勧めしません。

  • にアクセスするときはいつでも多要素認証 (MFA) を使用することを強くお勧めします AWS Private CA。

• AWS アカウントに IAM ユーザーを作成する場合、プライベート CA を作成するアクセス許可をそのユーザーに付与できます。ただし、そのユーザーが所属するアカウントが CA を所有しています。

• AWS アカウントに IAM ロールを作成し、プライベート CA を作成するアクセス許可を付与すると、ロールを引き受けることのできるいずれのユーザーも CA を作成できます。ただし、そのロールが所属するアカウントがプライベート CA を所有します。

アクセスポリシーは、誰が何に対するアクセス権を持っているのかを説明します。以下のディスカッションで、アクセス許可のポリシーを作成するために使用可能なオプションについて説明します。

注記

このドキュメントでは、 のコンテキストでの IAM の使用について説明します AWS Private CA。これは、IAM サービスに関する詳細情報を取得できません。完全な IAM ドキュメントについては、「IAM ユーザーガイド」を参照してください。IAM ポリシー構文の詳細および説明については、「AWS IAM ポリシーの参照」を参照してください。