翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用して AWS Private CA 、次の 2 つのケースのいずれかで ACM 証明書に署名できます。
-
単一アカウント: 署名 CA と発行された AWS Certificate Manager (ACM) 証明書は、同じ AWS アカウントにあります。
単一アカウントの発行と更新を有効にするには、 AWS Private CA 管理者が ACM サービスプリンシパルに証明書を作成、取得、および一覧表示するためのアクセス許可を付与する必要があります。これは API アクション AWS Private CA CreatePermission または AWS CLI コマンド create-permission を使用して行われます。アカウント所有者は、証明書の発行を担当する IAM ユーザー、グループ、またはロールに、これらのアクセス許可を割り当てます。
-
クロスアカウント: 署名 CA と発行された ACM 証明書は異なる AWS アカウントに存在し、CA へのアクセスは証明書が存在するアカウントに付与されています。
クロスアカウント発行および更新を有効にするには、管理者は AWS Private CA AWS Private CA API アクション PutPolicy または AWS CLI コマンド put-policy を使用してリソースベースのポリシーを CA にアタッチする必要があります。このポリシーは、CA への制限付きアクセスを許可する他のアカウントのプリンシパルを指定します。詳細については、「ACM Private CA でのリソースベースのポリシーの使用」を参照してください。
クロスアカウントシナリオでは、ACM がプリンシパルとして PCA ポリシーとやり取りするサービスリンクロール (SLR) をセットアップする必要もあります。ACM は、最初の証明書の発行時に SLR を自動的に作成します。
ACM では、アカウントに SLR が存在するかどうかを判断できないという警告が表示されることがあります。必要な
iam:GetRoleアクセス許可がすでにアカウントの ACM SLR に付与されている場合、SLR の作成後にアラートは再発しません。再発する場合は、ユーザーまたはアカウント管理者がiam:GetRoleアクセス許可を ACM に付与するか、アカウントを ACM 管理ポリシーAWSCertificateManagerFullAccessに関連付けます。詳細については、「ACM でのサービスにリンクされたロールの使用」を参照してください。
重要
ACM 証明書は、自動的に更新する前に、サポートされている AWS サービスにアクティブに関連付ける必要があります。ACM がサポートするリソースについては、「サービスと ACM の統合」を参照してください。
