翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AWS Private CA を使用して ACM プライベート証明書に署名するための条件 AWS Private CA を使用して、次の 2 つのケースのいずれかで ACM 証明書に署名できます。 + **単一アカウント**: 同じ AWS アカウントにある署名 CA と発行された AWS Certificate Manager (ACM) 証明書。 単一アカウントの発行と更新を有効にするには、 AWS Private CA 管理者が ACM サービスプリンシパルに証明書を作成、取得、および一覧表示するためのアクセス許可を付与する必要があります。これは、API アクション [CreatePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreatePermission.html) または AWS CLI コマンド [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) を使用して AWS Private CA 行われます。アカウント所有者は、証明書の発行を担当する IAM ユーザー、グループ、またはロールに、これらのアクセス許可を割り当てます。 + **クロスアカウント**: 署名 CA と発行された ACM 証明書は異なる AWS アカウントに存在し、CA へのアクセスは証明書が存在するアカウントに付与されています。 クロスアカウント発行と更新を有効にするには、管理者は AWS Private CA AWS Private CA API アクション [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html) または AWS CLI コマンド [put-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html) を使用してリソースベースのポリシーを CA にアタッチする必要があります。このポリシーは、CA への制限付きアクセスを許可する他のアカウントのプリンシパルを指定します。詳細については、「[ACM Private CA でのリソースベースのポリシーの使用](https://docs.aws.amazon.com/privateca/latest/userguide/pca-rbp.html)」を参照してください。 クロスアカウントシナリオでは、ACM がプリンシパルとして PCA ポリシーとやり取りするサービスリンクロール (SLR) をセットアップする必要もあります。ACM は、最初の証明書の発行時に SLR を自動的に作成します。 ACM では、アカウントに SLR が存在するかどうかを判断できないという警告が表示されることがあります。必要な `iam:GetRole` アクセス許可がすでにアカウントの ACM SLR に付与されている場合、SLR の作成後にアラートは再発しません。再発する場合は、ユーザーまたはアカウント管理者が `iam:GetRole` アクセス許可を ACM に付与するか、アカウントを ACM 管理ポリシー `AWSCertificateManagerFullAccess` に関連付けます。 詳細については、「[ACM でのサービスにリンクされたロールの使用](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)」を参照してください。 **重要** ACM 証明書は、自動的に更新する前に、サポートされている AWS サービスにアクティブに関連付ける必要があります。ACM がサポートするリソースについては、[サービスと ACM の統合](acm-services.md) を参照してください。