投稿日: Aug 17, 2020
AWS Certificate Manager (ACM) プライベート認証機関 (CA) で、プライベート CA を任意の AWS アカウントと共有したり、組織内で共有したりできるようになりました。お客様は、一元的なアカウントでプライベート CA を管理し、AWS Resource Access Manager (RAM) を使用して、SSL/TLS 証明書の発行先である他のアカウントまたは組織と CA を共有します。これにより、マルチアカウント環境ですべてのアカウントに重複したリソースをプロビジョニングする必要がなくなり、すべてのアカウントでこれらのリソースを管理するためのコストおよび複雑さを低減できます。
RAM を利用して、お客様は CA をアカウントまたは AWS Organization と共有できます。CA 共有は AWS Certificate Manager と連携して、指定されたアカウント所有者が共有プライベート CA からプライベート証明書を簡単にプロビジョニング、管理、およびデプロイできるようにします。AWS Certificate Manager は、Elastic Load Balancing や API Gateway などの ACM 統合サービスで使われるプライベート証明書の更新およびデプロイを自動化できます。ACM プライベート CA は、オンプレミスリソース、EC2 インスタンス、IoT デバイスのプライベート証明書の作成と更新を自動化する API を提供します。または、指定されたアカウントから直接プライベート CA を呼び出して証明書を発行することもできます。CA を一元的かつ安全なアカウントに保持し、他のユーザーに証明書を発行する機能のみを共有することが、セキュリティにおけるベストプラクティスです。これにより、CA の設定、監査、管理などの CA 管理者機能と、証明書を発行するためにのみアクセスが必要なオペレーターのアクションとが分離されます。クロスアカウント共有では、組織全体で共有される単一の CA を使用することにより、クロスアカウントデプロイの CA 所有権のコストを削減します。 この機能は、AWS App Mesh および Amazon Managed Streaming for Apache Kafka などの統合サービスで利用できます。
ACM プライベート CA はマネージド型のプライベート CA サービスで、プライベート証明書のライフサイクルを簡単かつ安全に管理するのに役立ちます。ACM プライベート CA では、自社のプライベート CA を運用するための先行投資や継続的なメンテナンスにコストをかけずに、アベイラビリティの高いプライベート CA を得られます。ACM プライベート CA は、ACM の証明書管理機能をプライベート証明書に拡張し、パブリック証明書とプライベート証明書を集中的に管理できるようにします。
ACM プライベート CA がご利用可能なリージョンの一覧については、AWS のリージョン表ならびにエンドポイントをご参照ください。
プライベート CA の共有の詳細については、ACM プライベート CA のドキュメントを参照してください。クロスアカウント CA 共有のステップごとの設定に関するこの AWS セキュリティブログをお読みください。ACM プライベート CA が初めてのお客様にご使用を開始いただくために、最初の CA の運用に対しては、30 日間無料のサービス試用期間があります。ACM プライベート CA の詳細については、ACM プライベート CA のウェブサイトを参照してください。