Stay up to date with the latest from the Knowledge Center. See all new Knowledge Center articlespublished in the last month, and re:Post’s top contributors.
AWS Private CA で作成したプライベート CA を別のアカウントと共有する方法を教えてください。
所要時間1分
0
AWSプライベート認証局を使用して、ある AWS アカウント内にプライベート認証機関 (CA) を作成しました。このプライベート CA を別のアカウントと共有して証明書を発行したいです。
簡単な説明
プライベート CA を別のアカウントと共有するには、AWS Resource Access Manager (AWS RAM) を使用してリソース共有を作成します。
プライベート CA は、次のエンティティと共有することもできます。
- AWS Identify and Access Management (IAM) ユーザーやロールなどの他のプリンシパル。
- 組織単位 (OU)
- AWS Organizations の組織全体
プライベート CA を共有すると、他のアカウントのユーザーとロールは、共有プライベート CA が署名したプライベート x509 証明書を発行できるようになります。
解決策
プライベート CA があるアカウント内で AWS RAM リソース共有を作成します。
注: AWS RAM は AWS リージョナルサービスであるため、リソース共有はリージョナルとなります。プライベート CA リソース共有には、作成したリージョンと同じリージョンからアクセスする必要があります。
プライベート CA を別のアカウントと共有するには、次の手順を実行します。
- プライベート CA のあるアカウント内で、AWS RAM でリソース共有を作成します。
注: リソース共有を作成する際は、発行する証明書タイプに適したアクセス許可を選択してください。たとえば、デフォルトの証明書テンプレート arn:aws:acm-pca:::template/EndEntityCertificate/V1: を使用してエンドエンティティ証明書を発行するには、デフォルトのアクセス許可 AWSRAMDefaultPermissionCertificateAuthority を選択します。証明書テンプレート arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1: を使用して下位証明書 (PathLen0) を発行するには、AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority を選択します。 - 他のアカウントで共有リソースを承諾します。共有に Organizations を使用しており、その Organizations 内でリソース共有を有効にしている場合は、ステップ 6 に進んでください。
- もう一方のアカウントで、プライベート CA が置かれたリージョンと同じリージョンの AWS RAM コンソールを開きます。
- [自分と共有されたもの] で [リソース共有] を選択すると、招待が表示されます。
- 共有リソースの名前を選択し、[リソース共有を承認] を選択します。
注: 共有を承認すると、ステータスは Active になります。 - もう一方のアカウントで、プライベート CA が置かれたリージョンの AWS プライベート CA コンソールを開き、アカウント内の共有プライベート CA を確認します。
関連情報
AWS RAM を使用して AWS Certificate Manager (ACM) の AWS プライベート CA をアカウント間で共有する方法
- 言語
- 日本語
AWS公式更新しました 2ヶ月前
コメントはありません
