自分の ACM Private Certificate Authority を別の AWS アカウントと共有するにはどうすればよいですか?

簡単な説明

AWS Resource Access Manager (AWS RAM) を使用してリソース共有を作成し、ACM PCA を別の AWS アカウントと共有できます。さらに、ACM PCA を次と共有できます。

• 他のプリンシパル (AWS Identify and Access Management (IAM) ユーザーや IAM ロールなど)。
• 組織単位 (OU)。
• アカウントがメンバーである AWS 組織全体。

ACM PCA を共有すると、他のアカウントのユーザーとロールは、共有された PCA によって署名されたプライベート x509 証明書を発行できます。

解決方法

ACM PCA が存在するアカウントで AWS RAM 共有を作成します。

例

アカウント A に既存の ACM PCA があります。アカウント B と共有したいと考えています。

1. アカウント A で、AWS RAM にリソース共有を作成します。詳細な手順については、「Creating a resource share」(リソース共有の作成) の「Console instructions」(コンソールの説明) を参照してください。
   注: [Step 2: Associate a permission with each resource type] (ステップ 2: 各リソースタイプに許可を関連付ける) で、発行する証明書の種類に対する許可を選択します。例を次に示します。
   デフォルトの証明書テンプレート arn:aws:acm-pca:::template/EndEntityCertificate/V1: でエンドエンティティ証明書を発行するには、デフォルトの許可 AWSRAMDefaultPermissionCertificateAuthority を選択します。
   証明書テンプレート arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1: を使用して下位証明書 (PathLen0) を発行するには、AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority を選択します。
2. 共有されたアカウント (この例ではアカウント B) で共有されたリソースを受け入れます。(AWS Organization 内でリソース共有がオンになっている状態で) AWS Organizations と共有する場合、ステップ 6 までスキップできます。
3. 共有されたアカウント (この例ではアカウント B) で、ステップ 1 と同じリージョンで AWS RAM コンソールを開きます。
4. [Shared with me] (自分と共有) で、[Resource shares] (リソースの共有) を選択します。保留中の共有の招待が表示されます。
5. 共有されたリソースの名前を選択し、[Accept resource share] (リソース共有を受け入れる) を選択します。共有を受け入れると、その共有は [Active] (アクティブ) として表示されます。
6. 共有されたアカウント (この例ではアカウント B) で、PCA が配置されているリージョンで ACM PCA コンソールを開きます。アカウントに共有された PCA が表示されます。共有された PCA を使用して、プライベート x509 証明書の発行を開始できます。

---

関連情報

How to use AWS RAM to share your ACM Private CA cross-account (AWS RAM を使用して ACM Private CA クロスアカウントを共有する方法)

Creating a resource share in AWS RAM (AWS RAM でリソース共有を作成する)