翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# プライベート CA へのクロスアカウントアクセスに関するセキュリティのベストプラクティス
<a name="pca-resource-sharing"></a>

 AWS Private CA 管理者は、CA を別の のプリンシパル (ユーザー、ロールなど) と共有できます AWS アカウント。共有が受信および承諾されると、プリンシパルは CA を使用して AWS Private CA または AWS Certificate Manager リソースを使用してエンドエンティティ証明書を発行できます。プリンシパルは CA を使用して下位 CA 証明書を発行できます AWS Private CA。

**重要**  
クロスアカウントシナリオで発行された証明書に関連する料金は、証明書を発行する AWS アカウントに請求されます。

CA へのアクセスを共有するには、 AWS Private CA 管理者は次のいずれかの方法を選択できます。
+  AWS Resource Access Manager (RAM) を使用して、CA をリソースとして別のアカウントのプリンシパルまたは と共有します AWS Organizations。RAM は、アカウント間で AWS リソースを共有するための標準的な方法です。RAM の詳細については、「[AWS RAM ユーザーガイド](https://docs.aws.amazon.com/ram/latest/userguide/)」を参照してください。 AWS Organizationsについては、「[AWS Organizations ユーザーガイド](https://docs.aws.amazon.com/organizations/latest/userguide/)」を参照してください。
+  AWS Private CA API または CLI を使用してリソースベースのポリシーを CA にアタッチし、別のアカウントのプリンシパルにアクセスを許可します。詳細については、「[リソースベースのポリシー](pca-rbp.md)」を参照してください。

このガイドの [プライベート CA へのアクセスを制御する](granting-ca-access.md) セクションでは、単一アカウントシナリオとクロスアカウントシナリオの両方で CA へのアクセスを許可するワークフローについて説明します。