ACM Private Certificate Authority を別の AWS アカウントと共有するにはどうすればよいですか?

所要時間1分
0

1 つの AWS アカウントで AWS Certificate Manager (ACM) Private Certificate Authority (ACM PCA) を作成しました。その ACM PCA を別の AWS アカウントと共有して証明書を発行できるかどうかを知りたいです。

簡単な説明

AWS Resource Access Manager (AWS RAM) を使用して ACM PCA を共有し、別の AWS アカウントとのリソース共有を作成できます。ACM PCA は、次のような他のエンティティと共有することもできます。

  • AWS Identify and Access Management (IAM) ユーザーや IAM ロールなどの他のプリンシパル。
  • 組織単位 (OU)。
  • 自分のアカウントがメンバーになっている AWS 組織全体。

ACM PCA 共有により、他のアカウントのユーザーおよびロールが、共有 PCA によって署名されたプライベート x509 証明書を発行できます。

解決策

ACM PCA が存在するアカウントで AWS RAM 共有を作成します。

ユースケースの例

アカウント A に既存の ACM PCA があり、それをアカウント B と共有しようと考えています。

注: AWS RAM はリージョナルサービスで、リソース共有はリージョナルです。他の AWS アカウントのプリンシパルとの ACM PCA リソース共有は、それが作成されたのと同じ AWS リージョンからのリソースにアクセスする必要があります。

  1. アカウント A で、AWS RAM にリソース共有を作成します。手順については、「Creating a resource share in AWS RAM」のコンソールの説明を参照してください。

    注: 手順 2: 管理アクセス許可を各リソースタイプに関連付けるで、発行したい証明書の種類に対するアクセス許可を選択します。例:
    デフォルトの証明書テンプレート arn:aws:acm-pca:::template/EndEntityCertificate/V1: を使用してエンドエンティティ証明書を発行するには、デフォルトのアクセス許可 AWSRAMDefaultPermissionCertificateAuthority を選択します。
    証明書テンプレート arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1: を使用して下位証明書 (PathLen0) を発行するには、AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority を選択します。

  2. 共有アカウント (この例ではアカウント B) の共有リソースを承諾します。AWS Organizations と共有する場合 (AWS Organizations 内でのリソース共有が有効化されている)、手順 6 にスキップできます。

  3. 共有アカウント (この例ではアカウント B) で、手順 1 と同じリージョンで AWS RAM コンソールを開きます。

  4. [自分と共有] で、[リソース共有] を選択します。保留中の共有の招待が表示されます。

  5. 共有リソースの名前を選択し、[リソース共有を承認] を選択します。共有を承認すると、その共有は [有効] として表示されます。

  6. 共有アカウント (この例ではアカウント B) で、PCA があるリージョンで ACM PCA コンソールを開きます。自分のアカウントに共有 PCA が表示されます。共有 PCA を使用して、プライベート x509 証明書を発行できます。

関連情報

How to use AWS RAM to share your ACM Private CA cross-account

AWS公式
AWS公式更新しました 8ヶ月前
コメントはありません

関連するコンテンツ