翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # クロスアカウントアクセスのポリシーをアタッチする CA 管理者と証明書発行者が異なる AWS アカウントに属している場合、CA 管理者は CA アクセスを共有する必要があります。これは CA にリソースベースのポリシーをアタッチすることでできます。このポリシーは、 AWS アカウント所有者、IAM ユーザー、 AWS Organizations ID、または組織単位 ID である特定のプリンシパルに発行許可を付与します。 CA 管理者は、次の方法でポリシーをアタッチおよび管理できます。 + マネジメントコンソールでは、 AWS Resource Access Manager (RAM) を使用します。これは、アカウント間で AWS リソースを共有するための標準的な方法です。別のアカウントのプリンシパル AWS RAM と で CA リソースを共有すると、必要なリソースベースのポリシーが CA に自動的にアタッチされます。RAM の詳細については、「[AWS RAM ユーザーガイド](https://docs.aws.amazon.com/ram/latest/userguide/)」を参照してください。 **注記** CA を選択し、**[アクション]**、**[リソース共有を管理]** の順に選択すると、RAM コンソールを簡単に開くことができます。 + PCA API の [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html)、[GetPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html)、[DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html) をプログラムで使用する。 + AWS CLIで PCA コマンドの [put-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html)、[get-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html)、[delete-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html) を手動で使用する。 RAM アクセスが必要なのはコンソール方式だけです。 **クロスアカウントのケース 1: コンソールからマネージド証明書を発行する** この場合、CA 管理者は AWS Resource Access Manager (AWS RAM) を使用して CA アクセスを別の AWS アカウントと共有します。これにより、そのアカウントはマネージド ACM 証明書を発行できます。この図は、 が CA をアカウントと直接共有することも、アカウントがメンバーである AWS Organizations ID を介して間接的に共有 AWS RAM することもできます。 ![\[コンソールによるクロスアカウント発行\]](http://docs.aws.amazon.com/ja_jp/privateca/latest/userguide/images/ca_access_2_accounts_console.png) RAM が を通じてリソースを共有した後 AWS Organizations、受信者プリンシパルはそのリソースを受け入れて有効にする必要があります。受信者は、オファーされた共有を自動的に受け入れ AWS Organizations るように を設定できます。 **注記** 受信者アカウントは、ACM での自動更新の設定を行います。通常、共有 CA を初めて使用するときに、ACM は、 AWS Private CAでの自動の証明書呼び出しを許可する、サービスにリンクされたロールをインストールします。これが失敗した場合 (通常は許可がないことが原因)、CA からの証明書は自動的には更新されません。この問題を解決できるのは ACM ユーザーだけで、CA 管理者は解決できません。詳細については、「[ACM でのサービスにリンクされたロール (SLR) の使用](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)」を参照してください。 **クロスアカウントのケース 2: API または CLI を使用してマネージド証明書およびアンマネージド証明書を発行する** この 2 番目のケースは、 および AWS Private CA API を使用して可能な共有 AWS Certificate Manager および発行オプションを示しています。これらのオペレーションはすべて、対応する AWS CLI コマンドを使用して実行することもできます。 ![\[API を使用したクロスアカウント発行\]](http://docs.aws.amazon.com/ja_jp/privateca/latest/userguide/images/ca_access_2_accounts_api_options.png) この例では API オペレーションを直接使用しているため、証明書発行者は証明書を発行する際に 2 つの API オペレーションから選択できます。PCA API アクション `IssueCertificate` を実行すると、自動的に更新されず、エクスポートして手動でインストールする必要があるアンマネージド証明書が作成されます。ACM API アクション [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) を実行すると、ACM 統合サービスに簡単にインストールでき、自動的に更新されるマネージド証明書が作成されます。 **注記** 受信者アカウントは、ACM での自動更新の設定を行います。通常、共有 CA を初めて使用するときに、ACM は、 AWS Private CAでの自動の証明書呼び出しができるようになる、サービスにリンクされたロールをインストールします。これが失敗した場合 (通常は許可がないことが原因)、CA からの証明書は自動的には更新されず、この問題を解決できるのは ACM ユーザーだけで、CA 管理者は解決できません。詳細については、「[ACM でのサービスにリンクされたロール (SLR) の使用](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)」を参照してください。