AMS SSP を使用して AMS アカウント AWS Private Certificate Authority でプロビジョニングする - AMS Advanced ユーザーガイド
AWS Private CA AWS Managed Servicesに関するよくある質問

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AMS SSP を使用して AMS アカウント AWS Private Certificate Authority でプロビジョニングする

AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントの AWS Private Certificate Authority 機能に直接アクセスします。プライベート証明書は、プライベートネットワーク上の接続されたリソース間の通信を識別して保護するために使用されます。 サーバー、 モバイル、 および IoT デバイスとアプリケーション。 AWS Private CA は、プライベート証明書のライフサイクルを簡単かつ安全に管理できるマネージドプライベート CA サービスです。 は、独自のプライベート CA を運用するための事前投資や継続的なメンテナンスコストなしで、高可用性のプライベート CA サービス AWS Private CA を提供します。 は、ACM の証明書管理機能をプライベート証明書に AWS Private CA 拡張します。 を使用すると、パブリック証明書とプライベート証明書を一元的に作成および管理できます。 AWS マネジメントコンソールまたは ACM API を使用して、 AWS リソースのプライベート証明書を簡単に作成およびデプロイできます。EC2 インスタンス、コンテナ、IoT デバイス、オンプレミスリソースの場合、プライベート証明書を簡単に作成して追跡し、独自のクライアント側のオートメーションコードを使用してデプロイできます。また、プライベート証明書を作成し、カスタム証明書の有効期間、キーアルゴリズム、またはリソース名を必要とするアプリケーション用に自分で管理することもできます。詳細については、「」を参照してくださいAWS Private CA

AWS Private CA AWS Managed Servicesに関するよくある質問

よくある質問と回答:

Q: AMS アカウント AWS Private CA でアクセスをリクエストするにはどうすればよいですか?

AWS サービス RFC (管理 | AWS サービス | 互換サービス) の送信を通じてアクセスをリクエストします。この RFC を通じて、次の IAM ロールがアカウントにプロビジョニングされます: customer_acm_pca_role。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。

Q: の使用にはどのような制限がありますか AWS Private CA?

現在、 AWS Resource Access Manager (AWS RAM) を使用してクロスアカウントを共有 AWS Private CA することはできません。

Q: を使用するための前提条件または依存関係は何ですか AWS Private CA?

1. CRL を作成する場合は、保存先の S3 バケットが必要です。 AWS Private CA は、指定した Amazon S3 バケットに CRL を自動的に預金し、定期的に更新します。CRL を設定する前に、S3 バケットに以下のバケットポリシーがあることが前提条件です。このリクエストを続行するには、次のように ct-0fpjlxa808sh2 (管理 | 高度なスタックコンポーネント | S3 ストレージ | 更新ポリシー) を使用して RFC を作成します。

  • S3 バケット名または ARN を指定します。

  • 以下のポリシーを RFC にコピーし、 を目的の S3 バケット名bucket-nameに置き換えます。

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"acm-pca.amazonaws.com"
         },
         "Action":[
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:GetBucketAcl",
            "s3:GetBucketLocation"
         ],
         "Resource":[
            "arn:aws:s3:::bucket-name/*",
            "arn:aws:s3:::bucket-name"
         ]
      }
   ]
}

2. 上記の S3 バケットが暗号化されている場合、サービスプリンシパル acm-pca.amazonaws.com には復号するためのアクセス許可が必要です。このリクエストを続行するには、次のように ct-3ovo7px2vsa6n (管理 | 高度なスタックコンポーネント | KMS キー | 更新) を使用して RFC を作成します。

  • ポリシーを更新する必要がある KMS キー ARN を指定します。

  • 以下のポリシーを RFC にコピーし、 を目的の S3 バケット名bucket-nameに置き換えます。

{
   "Sid":"Allow ACM-PCA use of the key",
   "Effect":"Allow",
   "Principal":{
      "Service":"acm-pca.amazonaws.com"
   },
   "Action":[
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
   "Resource":"*",
   "Condition":{
      "StringLike":{
         "kms:EncryptionContext:aws:s3:arn":[
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key",
            "arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private",
            "arn:aws:s3:::bucket_name/audit-report/*",
            "arn:aws:s3:::bucket_name/crl/*"
         ]
      }
   }
}

3. AWS Private CA CRLs「新しいアクセスコントロールリスト (ACLs」をサポートしていません。 S3 「ACM プライベート CA の AWS Private CA CRL を安全に作成して保存する方法」で説明されているように、S3 アカウントとバケットでこの設定を無効にする必要があります。無効にするには、ct-0xdawir96cy7k (管理 | その他 | その他 | 更新) を使用して新しい RFC を作成し、リスク承諾をアタッチします。 CRLs https://aws.amazon.com/blogs/security/how-to-securely-create-and-store-your-crl-for-acm-private-ca/ リスクの受け入れについてご質問がある場合は、 クラウドアーキテクトにお問い合わせください。