

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# での証明書ベースのアクセスコントロールのアーキテクチャ AWS
<a name="architecture"></a>

を使用して AWS Identity and Access Management Roles Anywhere 、 の外部で実行されるサーバー、コンテナ、アプリケーションなどのワークロードの一時的なセキュリティ認証情報を AWS Identity and Access Management (IAM) で取得できます AWS。ワークロードは、 AWS リソースへのアクセスに使用するのと同じ [IAM ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)と [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)を使用できます。 IAM Roles Anywhere を使用すると、 の外部で動作するワークロードの長期的な認証情報を管理する必要がなくなります AWS クラウド。

ワークロードを使用するには IAM Roles Anywhere、認証[機関 (CA)](https://docs.aws.amazon.com/privateca/latest/userguide/PcaTerms.html#terms-ca) によって発行された X.509 証明書を使用する必要があります。CA を信頼アンカー IAM Roles Anywhere として に登録し、パブリックキーインフラストラクチャと の間の信頼を確立します IAM Roles Anywhere。このガイドでは、 [AWS Private Certificate Authority (AWS Private CA)](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) を CA として使用し、 との信頼を確立します IAM Roles Anywhere。のコンテキストでは IAM Roles Anywhere、 AWS Private CA は、きめ細かなポリシーを通じて AWS リソースへのアクセスを制御するために使用できる特定の属性を持つ証明書を発行するための信頼できるソースとして機能します。

このガイドでは、ターゲット AWS アカウント および の AWS リソースへの証明書ベースのアクセスを設定するための 2 つの異なるオプションを提供します AWS リージョン。次の図は、両方のオプション間で共通するリソースを示しています。 AWS Private CA は、 IAM Roles Anywhere がデプロイされているのと同じアカウントとリージョンに設定されています。トラストアンカーは IAM Roles Anywhere と の間に存在します AWS Private CA。デフォルトでは、 が AWS Private CA 生成するすべての証明書は署名プロセス中に使用でき、 AWS Certificate Manager (ACM) 内に保存されます。このガイドでは、アプリケーションは 内の 1 つ以上の Amazon Simple Storage Service (Amazon S3) バケットにアクセスしています AWS アカウント。

![IAM Roles Anywhere と同じアカウントとリージョンにデプロイされます AWS Private CA。](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/certificate-based-access-controls/images/iam-roles-anywhere-same-account-region.png)


アーキテクチャには次の機能が必要です。
+ **証明書** – ACM を使用して証明書を生成できます。ACM はリージョナルサービスであるため、 AWS リージョン と同じ にデプロイする必要があります AWS Private CA。クロスアカウントの制限により、ACM を と同じアカウントにデプロイすることをお勧めします AWS Private CA。詳細については、[ACM ドキュメントの「 を使用して ACM プライベート証明書に署名 AWS Private CA するための条件](https://docs.aws.amazon.com/acm/latest/userguide/ca-access.html)」を参照してください。
+ **認証機関** – 外部 CA を使用 AWS Private CA または使用できます。 AWS Private CA はリージョナルサービスであるため、ACM および証明書 AWS リージョン と同じ にデプロイする必要があります。
+ **IAM ロール** – 組織のビジネス要件またはユースケース要件に基づいて、IAM ポリシーとアクセス許可を IAM ロールに** **マッピングします。詳細については、IAM [ドキュメントの「IAM ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)」を参照してください。
+ **IAM Roles Anywhere プロファイル** – プロファイルを設定して、 IAM Roles Anywhere 引き受けるロールと、ワークロードが一時的な認証情報で実行できる操作を指定します。プロファイルで、IAM セッションポリシーを定義して、セッション用に作成されたアクセス許可を制限します。詳細については、 IAM Roles Anywhere ドキュメントの[「ロールの設定](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html#getting-started-step2)」を参照してください。
+ **認証情報ヘルパーツール** – 一時的なセキュリティ認証情報を取得するために IAM Roles Anywhere が提供する認証情報ヘルパーツールを使用します。詳細については、 ドキュメントの「 [から一時的なセキュリティ認証情報を取得する IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/credential-helper.html) IAM Roles Anywhere 」を参照してください。

を介してリソースにアクセスするアクセス許可を委任するには IAM Roles Anywhere、アクセス許可ポリシーと信頼ポリシーを持つ IAM ロールを作成します。アクセス*許可ポリシー*は、リソースで目的のタスクを実行するために必要なアクセス許可を引き受けるエンティティに付与します。[信頼ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)は、ロールを引き受けることができる信頼されたアカウントメンバーを指定します。このガイドでは、アクセス許可ポリシーはエンティティがアクセスできる Amazon S3 バケットを定義し、信頼ポリシーはロールを引き受けることができるアプリケーションを定義します。

このガイドでは、IAM ロールの信頼ポリシーの設定オプションを説明する以下のシナリオについて説明します。
+ [オプション 1: アプリケーションは IAM Roles Anywhere プロファイルにリンクされた任意のロールを引き受けることができます](option-1.md) – から ACM に 1 つ以上の証明書がプロビジョニング AWS Private CA され、 AWS リソースへのアクセスを必要とするアプリケーションと共有されています。これらのアプリケーションは、 IAM Roles Anywhere プロファイルにリンクされた任意のロールを引き受けることができます。これは、信頼ポリシーが引き受けることができるアプリケーションを制限しないためです。
+ [オプション 2: アプリケーションは、信頼ポリシーが許可するロールのみを引き受けることができます](option-2.md) – から ACM に 2 つの証明書がプロビジョニング AWS Private CA され、 AWS リソースへのアクセスを必要とするアプリケーションと共有されています。信頼ポリシーの証明書ベースのアクセスコントロールにより、**アプリケーション 1 **は**ロール 1 **のみを引き受け、**アプリケーション 2** は**ロール 2 **のみを引き受けることができます。

**前提条件**  
これらのオプションを設定するには、以下を完了する必要があります。  
 AWS アカウント および ターゲットのリソースへのアクセスを必要とする外部アプリケーション AWS リージョン。
認証機関は、 と同じリージョンに設定されます IAM Roles Anywhere。セットアップの手順については AWS Private Certificate Authority、[「 の開始方法 IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html)」を参照してください。
アプリケーションの証明書を発行しました。詳細と手順については、[AWS Certificate Manager 「 証明書](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)」を参照してください。