プライベート CAs へのクロスアカウントアクセスのセキュリティのベストプラクティス - AWS Private Certificate Authority

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

プライベート CAs へのクロスアカウントアクセスのセキュリティのベストプラクティス

AWS Private CA 管理者は、CA を別の AWS アカウント のプリンシパル (ユーザー、ロールなど) と共有できます。共有が受信および承諾されると、プリンシパルは CA を使用して、 AWS Private CA または AWS Certificate Manager リソースを使用してエンドエンティティ証明書を発行できます。プリンシパルは CA を使用して下位 CA 証明書を発行できます AWS Private CA。

重要

クロスアカウントシナリオで発行された証明書に関連する料金は、証明書を発行する AWS アカウントに請求されます。

CA へのアクセスを共有するには、 AWS Private CA 管理者は次のいずれかの方法を選択できます。

  • AWS Resource Access Manager (RAM) を使用して、CA をリソースとして別のアカウントのプリンシパルと共有するか、 と共有します AWS Organizations。RAM は、アカウント間で AWS リソースを共有するための標準的な方法です。RAM の詳細については、AWS RAM 「 ユーザーガイド」を参照してください。詳細については AWS Organizations、AWS Organizations 「 ユーザーガイド」を参照してください。

  • AWS Private CA API または CLI を使用してリソースベースのポリシーを CA にアタッチし、別のアカウントのプリンシパルにアクセスを許可します。詳細については、「リソースベースのポリシー」を参照してください。

このガイドの プライベート CA へのアクセスを制御するセクションでは、単一アカウントシナリオとクロスアカウントシナリオの両方で CAs へのアクセスを許可するためのワークフローについて説明します。