翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# プライベート CA へのアクセスを制御する
<a name="granting-ca-access"></a>

からプライベート CA に必要なアクセス許可を持つユーザーは、その CA を使用して他の証明書に署名 AWS Private CA できます。CA 所有者は、証明書を発行するか、証明書を発行するために必要なアクセス許可を、同じ に存在する AWS Identity and Access Management (IAM) ユーザーに委任できます AWS アカウント。別の AWS アカウントに存在するユーザーは、[リソースベースのポリシー](pca-rbp.md)を通じて CA 所有者によって承認された場合、証明書を発行することもできます。

認可されたユーザーは、シングルアカウントかクロスアカウントかにかかわらず、証明書の発行時に AWS Private CA または AWS Certificate Manager リソースを使用できます。 AWS Private CA [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) API または [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) CLI コマンドから発行された証明書はアンマネージド型です。このような証明書は、ターゲットデバイスに手動でインストールし、有効期限が切れたら手動で更新する必要があります。ACM コンソール、ACM [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) API、または[request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) CLI コマンドから発行された証明書は管理されます。このような証明書は、ACM と統合されたサービスに簡単にインストールできます。CA 管理者が許可し、発行者のアカウントに ACM 用の[サービスにリンクされたロール](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)が設定されている場合、マネージド証明書は有効期限が切れると自動的に更新されます。

**Topics**
+ [IAM ユーザー用の単一アカウント許可を作成する](assign-permissions.md)
+ [クロスアカウントアクセスのポリシーをアタッチする](pca-ram.md)

# IAM ユーザー用の単一アカウント許可を作成する
<a name="assign-permissions"></a>

CA 管理者 (つまり CA の所有者) と証明書発行者が 1 つの AWS アカウントに存在する場合、[ベストプラクティス](ca-best-practices.md)は、アクセス許可が制限された AWS Identity and Access Management (IAM) ユーザーを作成して発行者と管理者ロールを分離することです。での IAM の使用とアクセス許可の例については AWS Private CA、「」を参照してください[の Identity and Access Management (IAM) AWS Private Certificate Authority](security-iam.md)。

**単一アカウントのケース 1: アンマネージド証明書の発行**  
この場合、アカウント所有者はプライベート CA を作成し、プライベート CA によって署名された証明書を発行する許可を持つ IAM ユーザーを作成します。IAM ユーザーは API を呼び出して証明書を発行します AWS Private CA `IssueCertificate`。

![\[アンマネージド証明書の発行\]](http://docs.aws.amazon.com/ja_jp/privateca/latest/userguide/images/ca_access_1_account_pca_api.png)


この方法で発行された証明書は管理されません。つまり、管理者は証明書をエクスポートして、使用する予定のデバイスにインストールする必要があります。また、有効期限が切れたら手動で更新する必要があります。この API を使用して証明書を発行するには、[OpenSSL](https://www.openssl.org/) または同様のプログラム AWS Private CA によって の外部で生成される証明書署名リクエスト (CSR) とキーペアが必要です。詳細については、「`IssueCertificate` [ドキュメント](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)」を参照してください。

**単一アカウントのケース 2: ACM によるマネージド証明書の発行**  
この 2 つ目のケースは、ACM と PCA の両方からの API オペレーションが関わります。アカウント所有者は以前と同様にプライベート CA と IAM ユーザーを作成します。次に、アカウント所有者は ACM サービスプリンシパルに、この CA によって署名されたすべての証明書を自動的に更新する[許可を付与](create-CA.md#PcaCreateAcmPerms)します。IAM ユーザーは証明書を再度発行しますが、今回は CSR とキー生成を処理する ACM `RequestCertificate` API を呼び出します。証明書の有効期限が切れると、ACM は更新ワークフローを自動化します。

![\[マネージド証明書の発行\]](http://docs.aws.amazon.com/ja_jp/privateca/latest/userguide/images/ca_access_1_account_acm_api.png)


アカウント所有者は、CA の作成中または作成後に管理コンソールから、または `CreatePermission` PCA API を使用して、更新許可を付与することができます。このワークフローから作成されたマネージド証明書は、ACM と統合された AWS サービスで で使用できます。

以下のセクションには、更新許可を付与する手順があります。

## ACM に証明書の更新許可を割り当てる
<a name="PcaPermissions"></a>

 AWS Certificate Manager (ACM) の [マネージド更新](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) では、パブリック証明書とプライベート証明書の両方の証明書更新プロセスを自動化できます。ACM がプライベート CA によって生成された証明書を自動的に更新するには、ACM サービスプリンシパルに CA 自体から可能なすべての許可を付与する必要があります。これらの更新権限が ACM にない場合は、CA の所有者 (または許可された担当者) は、期限が切れたら各プライベート証明書を手動で再発行する必要があります。

**重要**  
これらの更新アクセス許可を割り当てる手順は、CA 所有者と証明書発行者が同じ AWS アカウントに存在する場合にのみ適用されます。クロスアカウントのシナリオについては、「[クロスアカウントアクセスのポリシーをアタッチする](pca-ram.md)」を参照してください。

更新のアクセス許可は、[ プライベート CA の作成](create-CA.md) 中に委任することができ、CA が `ACTIVE` 状態である限り、いつでも変更できます。

プライベート CA のアクセス許可は、[AWS Private CA コンソール](https://console.aws.amazon.com/acm-pca)、[AWS Command Line Interface (AWS CLI) ](https://docs.aws.amazon.com/cli/latest/reference/)、または [AWS Private CA API](https://docs.aws.amazon.com/privateca/latest/APIReference/) で管理できます。

**ACM に プライベート CA の許可を割り当てるには (コンソール)**

1.  AWS アカウントにサインインし、[https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home) で AWS Private CA コンソールを開きます。

1. **[プライベート認証機関] ページ**で、リストからプライベート CA を選択します。

1. **[アクション]**、**[CA 許可の設定]** を選択します。

1. **[ACM アクセスを許可してこのアカウントが要求した証明書を更新]** を選択します。

1. **[保存]** を選択します。

**AWS Private CA (AWS CLI) で ACM アクセス許可を管理するには**  
[create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) コマンドを使用して ACM に許可を割り当てます。ACM が証明書を自動的に更新するようにするには、必要な許可 (`IssueCertificate`、`GetCertificate`、`ListPermissions`) を割り当てる必要があります。

```
$ aws acm-pca create-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --actions IssueCertificate GetCertificate ListPermissions \
     --principal acm.amazonaws.com
```

CA によって委任されたアクセス許可 を一覧表示するには、[[list-permissions](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/list-permissions.html)] コマンドを使用します。

```
$ aws acm-pca list-permissions \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID
```

[delete-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-permission.html) コマンドを使用して、CA によって AWS サービスプリンシパルに割り当てられたアクセス許可を取り消します。

```
$ aws acm-pca delete-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --principal acm.amazonaws.com
```

# クロスアカウントアクセスのポリシーをアタッチする
<a name="pca-ram"></a>

CA 管理者と証明書発行者が異なる AWS アカウントに属している場合、CA 管理者は CA アクセスを共有する必要があります。これは CA にリソースベースのポリシーをアタッチすることでできます。このポリシーは、 AWS アカウント所有者、IAM ユーザー、 AWS Organizations ID、または組織単位 ID である特定のプリンシパルに発行許可を付与します。

CA 管理者は、次の方法でポリシーをアタッチおよび管理できます。
+ マネジメントコンソールでは、 AWS Resource Access Manager (RAM) を使用します。これは、アカウント間で AWS リソースを共有するための標準的な方法です。別のアカウントのプリンシパル AWS RAM と で CA リソースを共有すると、必要なリソースベースのポリシーが CA に自動的にアタッチされます。RAM の詳細については、「[AWS RAM ユーザーガイド](https://docs.aws.amazon.com/ram/latest/userguide/)」を参照してください。
**注記**  
CA を選択し、**[アクション]**、**[リソース共有を管理]** の順に選択すると、RAM コンソールを簡単に開くことができます。
+ PCA API の [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html)、[GetPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html)、[DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html) をプログラムで使用する。
+  AWS CLIで PCA コマンドの [put-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html)、[get-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html)、[delete-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html) を手動で使用する。

RAM アクセスが必要なのはコンソール方式だけです。

**クロスアカウントのケース 1: コンソールからマネージド証明書を発行する**  
この場合、CA 管理者は AWS Resource Access Manager (AWS RAM) を使用して CA アクセスを別の AWS アカウントと共有します。これにより、そのアカウントはマネージド ACM 証明書を発行できます。この図は、 が CA をアカウントと直接共有することも、アカウントがメンバーである AWS Organizations ID を介して間接的に共有 AWS RAM することもできます。

![\[コンソールによるクロスアカウント発行\]](http://docs.aws.amazon.com/ja_jp/privateca/latest/userguide/images/ca_access_2_accounts_console.png)


RAM が を通じてリソースを共有した後 AWS Organizations、受信者プリンシパルはそのリソースを受け入れて有効にする必要があります。受信者は、オファーされた共有を自動的に受け入れ AWS Organizations るように を設定できます。

**注記**  
受信者アカウントは、ACM での自動更新の設定を行います。通常、共有 CA を初めて使用するときに、ACM は、 AWS Private CAでの自動の証明書呼び出しを許可する、サービスにリンクされたロールをインストールします。これが失敗した場合 (通常は許可がないことが原因)、CA からの証明書は自動的には更新されません。この問題を解決できるのは ACM ユーザーだけで、CA 管理者は解決できません。詳細については、「[ACM でのサービスにリンクされたロール (SLR) の使用](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)」を参照してください。

**クロスアカウントのケース 2: API または CLI を使用してマネージド証明書およびアンマネージド証明書を発行する**  
この 2 番目のケースは、 および AWS Private CA API を使用して可能な共有 AWS Certificate Manager および発行オプションを示しています。これらのオペレーションはすべて、対応する AWS CLI コマンドを使用して実行することもできます。

![\[API を使用したクロスアカウント発行\]](http://docs.aws.amazon.com/ja_jp/privateca/latest/userguide/images/ca_access_2_accounts_api_options.png)


この例では API オペレーションを直接使用しているため、証明書発行者は証明書を発行する際に 2 つの API オペレーションから選択できます。PCA API アクション `IssueCertificate` を実行すると、自動的に更新されず、エクスポートして手動でインストールする必要があるアンマネージド証明書が作成されます。ACM API アクション [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) を実行すると、ACM 統合サービスに簡単にインストールでき、自動的に更新されるマネージド証明書が作成されます。

**注記**  
受信者アカウントは、ACM での自動更新の設定を行います。通常、共有 CA を初めて使用するときに、ACM は、 AWS Private CAでの自動の証明書呼び出しができるようになる、サービスにリンクされたロールをインストールします。これが失敗した場合 (通常は許可がないことが原因)、CA からの証明書は自動的には更新されず、この問題を解決できるのは ACM ユーザーだけで、CA 管理者は解決できません。詳細については、「[ACM でのサービスにリンクされたロール (SLR) の使用](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)」を参照してください。