翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 証明書ベースのアクセスコントロール IAM Roles Anywhere を使用して のセキュリティを強化する
<a name="introduction"></a>

*Alberto Sagrado Amador、Amazon Web Services*

*2025 年 7 月* ([ドキュメント履歴](doc-history.md))

組織がクラウドフットプリントを拡大し、自動化を採用するにつれて、アプリケーション、サーバー、コンテナなどの人間以外の ID への安全なアクセスを管理することがますます重要になっています。従来のアプローチでは、長期的な認証情報またはハードコードされたシークレットを使用しますが、これらのアプローチでは、セキュリティリスクと運用上のオーバーヘッドが発生する可能性があります。 は、 外部のワークロードが長期的な認証情報ではなく [X.509 証明書](https://en.wikipedia.org/wiki/X.509) (Wikipedia) を使用して AWS リソース AWS クラウド に安全にアクセスできるようにすることで、これらの課題[AWS Identity and Access Management Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)に対処します。

通常、組織はアクセスキーの拡散、複雑な認証情報のローテーション、きめ細かなアクセスコントロールを適用する能力の制限に苦労します。最新のセキュリティフレームワークでは、[ゼロトラストの原則](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-zero-trust-architecture/zero-trust-principles.html)、just-in-timeアクセス、最小特権の原則が強調されています。これらはすべて、証明書ベースの認証を適切に実装することで実現できます。

このガイドでは、証明書属性と [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ロールの信頼関係を効果的に管理 IAM Roles Anywhere することで、 のセキュリティを強化する方法を示します。実用的なアーキテクチャの例を使用して、きめ細かなアクセスコントロールを実装し、セッションに IAM Roles Anywhere 最小特権の原則を適用する方法を示します。

このアーキテクチャでは、 IAM Roles Anywhere と [AWS Private Certificate Authority (AWS Private CA)](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html). AWS Private CA acts を信頼アンカーとして使用し、 [AWS Certificate Manager (ACM)](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) が証明書を管理します。この基盤は、実際のセキュリティ設定とその影響を反映しています。

IAM ロールに適切なポリシー設定がないと、 によって AWS Private CA 発行された証明書を使用してロールを引き受ける可能性があります。これにより、不正なロールの引き受け、データ侵害、認証情報の侵害など、重大なセキュリティ脆弱性が発生する可能性があります。このガイドでは、ポリシーの適切な設定と証明書属性の管理を通じて、これらのリスクを軽減する方法について説明します。

次の図は、アプリケーションが を介してアクセスをリクエスト IAM Roles Anywhere し、ターゲットで許可されたアクションを実行する方法のワークフローを示しています AWS アカウント。

![証明書ベースの認証を使用して、 AWS リソースの一時的なアクセス認証情報を取得します。](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/certificate-based-access-controls/images/certificate-based-temporary-credentials.png)


この図表は、次のワークフローを示しています:

1. アプリケーションは に一時的なセキュリティ認証情報をリクエスト IAM Roles Anywhere し、認証用の証明書を提供します。

1. IAM Roles Anywhere は信頼関係を使用して、 でアプリケーションを認証します AWS Private CA。

1. IAM Roles Anywhere は、一時的なセキュリティ認証情報を含む JSON ファイルを生成し、アプリケーションに返します。

1. 一時的なセキュリティ認証情報を使用して、アプリケーションは で IAM ロールを引き受けます AWS アカウント。

アプリケーションは、IAM ロールとアカウントにアタッチされたポリシーで許可されるアクションを実行します。例えば、Amazon Simple Storage Service (Amazon S3) バケットにアクセスする場合があります。

## 対象者
<a name="introduction-audience"></a>

このガイドは、ハイブリッドクラウド環境のアクセスコントロールを実装する、または人間以外の ID のアクセス許可管理を自動化するクラウドアーキテクト、セキュリティエンジニア、DevOps エンジニアを対象としています。このガイドは、規制の遵守やセキュリティのベストプラクティスの達成にも役立ちます。このガイドの概念と推奨事項を理解するには、以下を理解しておく必要があります。
+ IAM の基礎
+ パブリックキーインフラストラクチャ (PKI) と X.509 証明書管理
+ ゼロトラストセキュリティと最小特権アクセスの原則
+ AWS のサービス IAM Roles Anywhere や などの証明書ベースの認証用 AWS Private CA

## 目的
<a name="introduction-objectives"></a>

認証に IAM Roles Anywhere と X.509 証明書を使用すると、次の重要なビジネス成果が得られます。
+ **セキュリティの強化** – 長期認証情報の使用に関連するリスクを排除
+ **運用オーバーヘッドの削減** – 認証情報の管理とローテーションを自動化
+ **コンプライアンスの向上 **– 詳細な監査証跡を提供し、最小特権アクセスを適用します
+ **スケーラブルな管理** – ハイブリッド環境全体のアクセスコントロールを一元化
+ **コスト効率** – セキュリティインシデント対応の取り組みと管理の複雑さに関連するコストを削減