翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# の Identity and Access Management (IAM) AWS Private Certificate Authority
<a name="security-iam"></a>

 にアクセスするには、 がリクエストの認証 AWS に使用できる認証情報 AWS Private CA が必要です。以下のトピックでは、プライベート CA をセキュリティで保護するために [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) を使用してプライベート認証機関 (CA) にアクセスできるユーザーを管理する方法について詳しく説明します。

では AWS Private CA、使用するプライマリリソースは*認証機関 (CA)* です。所有または管理する各プライベート CA は、Amazon リソースネーム (ARN) によって識別され、その形式は次のとおりです。

```
arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```

*リソース所有者*は、 AWS リソースが作成される AWS アカウントの*プリンシパルエンティティ*です。以下は、この仕組みを説明する例です。
+ の認証情報を使用してプライベート CA AWS アカウントのルートユーザー を作成する場合、 AWS アカウントは CA を所有します。
**重要**  
を使用して CAs AWS アカウントのルートユーザー を作成することはお勧めしません。
にアクセスするときはいつでも多要素認証 (MFA) を使用することを強くお勧めします AWS Private CA。
+  AWS アカウントに IAM ユーザーを作成する場合、プライベート CA を作成するアクセス許可をそのユーザーに付与できます。ただし、そのユーザーが所属するアカウントが CA を所有しています。
+  AWS アカウントに IAM ロールを作成し、プライベート CA を作成するアクセス許可を付与すると、そのロールを引き受けることができるすべてのユーザーが CA を作成できます。ただし、そのロールが所属するアカウントがプライベート CA を所有します。

アクセスポリシー**は、誰が何に対するアクセス権を持っているのかを説明します。以下のディスカッションで、アクセス許可のポリシーを作成するために使用可能なオプションについて説明します。

**注記**  
このドキュメントでは、 のコンテキストでの IAM の使用について説明します AWS Private CA。ここでは、IAM サービスに関する詳細情報を提供しません。完全な IAM ドキュメントについては、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)」を参照してください。IAM ポリシー構文の詳細および説明については、「[AWS IAM ポリシーの参照](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。