AWS Private CA がクロスアカウント共有でカスタマーマネージドのアクセス許可をサポート
AWS Private Certificate Authority (AWS Private CA) は、AWS Resource Access Manager (AWS RAM) でカスタマーマネージドのアクセス許可をサポートするようになりました。AWS Private CA では、AWS RAM を使用してアカウント間で認証局 (CA) を共有できるため、アカウントごとに個別の CA を作成することなく PKI を一元管理できます。カスタマーマネージドのアクセス許可により、CA を共有するときに許可する AWS Private CA の API 操作を正確に選択できるようになり、各コンシューマーアカウントが必要とする特定の操作のみを許可できるようになります。
これまでは、事前定義済みのアクションセットを提供し、クロスアカウント発行者を特定の証明書テンプレートに制限する AWS マネージドのアクセス許可しか使用できませんでした。これからは、読み取り操作 (例: DescribeCertificateAuthority、GetCertificate、GetCertificateAuthorityCertificate) と書き込み操作 (例: IssueCertificate、RevokeCertificate) から選択して、各コンシューマーアカウントまたは組織単位に合わせてアクセスを調整できるようになります。カスタマーマネージドのアクセス許可があれば、クロスアカウント発行者は特定の証明書テンプレートに制限されません。
AWS Private CA のカスタマーマネージドのアクセス許可は、AWS Private CA と AWS RAM が利用可能なすべての AWS リージョンで利用できます。詳細については、AWS Private CA ユーザーガイドの「Customer managed permissions in RAM」と、AWS RAM ユーザーガイドの「Creating and using customer managed permissions」を参照してください。