投稿日: Aug 23, 2023
エンタープライズ、ネットワーク、セキュリティの管理者が AWS Identity and Access Management (IAM) 条件コンテキストキーと AWS Certificate Manager (ACM) を併用できるようになりました。これにより、ユーザーが組織の公開キー基盤 (PKI) のガイドラインに準拠した証明書を発行することが保証されます。例えば、条件キーを使用して、DNS での検証のみを許可できます。あるいは、どのユーザーが accounting.example.com やワイルドカード名など特定のドメイン名の証明書をリクエストできるかを承認することもできます。
これらの新しいコンテキストキーを使用して、ACM ユーザーが証明書発行パラメータをカスタマイズする方法を定義し、1) 特定の証明書の検証方法、2) ワイルドカード名など特定のドメイン名の証明書をリクエストできるユーザー、3) 特定の証明書キーアルゴリズム、4) パブリックまたはプライベートの証明書タイプのリクエストを承認できます。さらに、ユーザーが証明書透過性 (CT) ログを無効にしたり、特定の AWS プライベート認証局から証明書をリクエストしたりできないようにすることができます。
IAM またはサービスコントロールポリシー (SCP) を AWS Organizations から使用して、ユーザーおよびアカウント間に条件キーを配布して適用できます。組織全体でポリシーを適用することも、組織単位ごとに特定のポリシーを設定することもできます。例えば、人事部門が HR.example.com というドメイン名の証明書を発行することを承認し、IT 部門は IT.example.com の証明書のみを発行できるようにすることができます。AWS CloudFormation でアカウントを作成する際にこれらのポリシーを適用することもできます。
この機能について詳しくはこちらを参照してください。また、こちらから ACM の使用を開始してください。この機能は、AWS GovCloud (米国) リージョンを含む、ACM が利用可能なすべての AWS リージョンでご利用いただけます。