翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の Identity and Access Management (IAM) AWS Private Certificate Authority
へのアクセスには、 AWS がリクエストの認証に使用する認証情報 AWS Private CA が必要です。以下のトピックでは、プライベート CA をセキュリティで保護するために AWS Identity and Access Management (IAM) を使用してプライベート認証機関 (CA) にアクセスできるユーザーを管理する方法について詳しく説明します。
では AWS Private CA、使用するプライマリリソースは認証機関 (CA) です。所有または管理する各プライベート CA は、Amazon リソースネーム (ARN) によって識別され、その形式は次のとおりです。
arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566リソース所有者は、 AWS リソースが作成される AWS アカウントのプリンシパルエンティティです。以下は、この仕組みを説明する例です。
-
の認証情報を使用してプライベート CA AWS アカウントのルートユーザー を作成する場合、 AWS アカウントが CA を所有します。
重要
-
を使用して CAs AWS アカウントのルートユーザー を作成することはお勧めしません。
-
にアクセスするときはいつでも多要素認証 (MFA) を使用することを強くお勧めします AWS Private CA。
-
-
AWS アカウントに IAM ユーザーを作成する場合、プライベート CA を作成するアクセス許可をそのユーザーに付与できます。ただし、そのユーザーが所属するアカウントが CA を所有しています。
-
AWS アカウントに IAM ロールを作成し、プライベート CA を作成するアクセス許可を付与すると、ロールを引き受けることのできるいずれのユーザーも CA を作成できます。ただし、そのロールが所属するアカウントがプライベート CA を所有します。
アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のディスカッションで、アクセス許可のポリシーを作成するために使用可能なオプションについて説明します。
注記
このドキュメントでは、 のコンテキストでの IAM の使用について説明します AWS Private CA。これは、IAM サービスに関する詳細情報を取得できません。完全な IAM ドキュメントについては、「IAM ユーザーガイド」を参照してください。IAM ポリシー構文の詳細および説明については、「AWS IAM ポリシーの参照」を参照してください。
