翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# での証明書ベースのアクセスコントロールに関するよくある質問 AWS
<a name="faq"></a>

## 証明書属性とは何ですか、また、それらが重要な理由は何ですか IAM Roles Anywhere?
<a name="faq-1"></a>

*証明書属性*は、共通名、組織、カスタム拡張機能など、証明書所有者に関する情報を含む X.509 証明書内のフィールドです。では AWS Identity and Access Management Roles Anywhere、これらの属性をロール信頼ポリシーで使用して、きめ細かなアクセスコントロールを実装できます。これは、証明書の有効性ではなく、証明書の特性に基づいてアクセスを決定するのに役立ちます。

## 一時的な認証情報は とどのように連携しますか IAM Roles Anywhere?
<a name="faq-2"></a>

ワークロードが証明書を使用して認証されると、 は通常 15 分から 12 時間の一時的なセキュリティ認証情報 IAM Roles Anywhere を提供します。これらの認証情報の有効期限が切れたら、更新する必要があります。これにより、認証情報が侵害されるリスクが軽減されます。これらの認証情報の一時的な性質は、最小特権の原則を維持するのに役立つ主要なセキュリティ機能です。

## を使用する利点は何ですか IAM Roles Anywhere?
<a name="faq-3"></a>

長期アクセスキーを使用する場合と比較して、 IAM Roles Anywhere にはいくつかの利点があります。
+ アクセスキーを管理またはローテーションする必要はありません
+ 組み込み検証による証明書ベースの認証
+ 認証情報の自動有効期限と更新
+ 証明書属性によるきめ細かなアクセスコントロール
+ 証明書の追跡による監査機能の向上
+ 認証情報が公開されるリスクの軽減

## は既存の証明書インフラストラクチャとどのように IAM Roles Anywhere 統合されますか?
<a name="faq-4"></a>

IAM Roles Anywhere は、認証機関 (CA) をトラストアンカーとして登録することで、既存のパブリックキーインフラストラクチャ (PKI) と統合できます。既存の CA または を使用できます AWS Private Certificate Authority。トラストアンカーとして登録すると、CA はワークロードの認証と一時的な AWS 認証情報の取得に使用できる証明書を発行します。

## で最小特権を実装するためのベストプラクティスは何ですか IAM Roles Anywhere?
<a name="faq-5"></a>

主なベストプラクティスは次のとおりです。
+ 証明書属性を使用して、ロールの引き受けを特定のワークロードに制限する
+ 証明書の特性に基づいて特定の信頼関係を実装する
+ モニタリングとログ AWS Identity and Access Management (IAM) ロールの前提条件
+ ワークロード要件に基づいて厳格なロールアクセス許可を実装する
+ ロールの信頼ポリシー、ロールの[アイデンティティベースのポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based)、およびプロファイルポリシーを定期的に監査する