AWS Certificate Manager (ACM) プライベート認証機関は、ACM の証明書管理機能をパブリックの証明書とプライベートの証明書の両方に拡張するプライベート CA サービスです。ACM プライベート CA では、自社のプライベート CA を運用するための先行投資や継続的なメンテナンスにコストをかけずに、アベイラビリティの高いプライベート CA を提供します。ACM プライベート CA では、開発者の方は API を用いてプログラムでプライベート証明書を作成、デプロイできるようになり、迅速性が向上します。また、カスタム証明書ライフタイムやリソース名を必要とするアプリケーション用にプライベート証明書を作成するといった柔軟性も得られます。ACM プライベート CA では、接続されたリソースに対するプライベート証明書を、セキュアで従量課金制のマネージド型プライベート CA サービスを用いて、ひと所で作成、管理できます。

CA 管理者は ACM プライベート CA を使用して、外部の CA を必要とせずに、オンラインのルート CA や下位 CA を含む完全な CA 階層を作成できます。ACM プライベート CAでは、オフライン CA とオンライン CA のハイブリッド階層も可能です。CA 階層は、信頼チェーンの最上位にある最も信頼されるルート CA に対して強力なセキュリティと制限的なアクセス制御を提供しながら、チェーン内の下位にある下位 CA に対するより許容的なアクセスと一括での証明書発行を可能にします。独自のオンプレミス CA インフラストラクチャを構築および維持する必要なく、セキュアで可用性の高い CA を作成できます。

 

AWS Summit サンフランシスコ 2018 - AWS Certificate Manager プライベート認証機関

利点

安全なマネージド型プライベート認証機関

ACM プライベート CA では、プライベート CA を容易かつ安全に作成する方法を提供しており、またこれを用いてプライベート証明書を作成、管理できます。ACM プライベート CA は AWS マネージド型ハードウェアセキュリティモジュール (HSM) でセキュリティを確保しています。これらの HSM は FIPS 140-2 レベル 3 セキュリティ標準に準拠しており、プライベート CA のキーを安全に保管します。プライベート CA 管理者は、AWS Identity and Access Management (IAM) のポリシーを使用してアクセスを制御できます。ACM プライベート CA によりプライベート証明書のアクティビティが可視化され、レポートの作成が可能になります。プライベート CA のアクティビティは、AWS CloudTrail のログ記録とモニタリングサービスを使って監査できます。またACM プライベート CA は、証明書取り消しリスト (CRL) を Amazon S3 に自動的に発行、更新しますので、取り消し済み証明書の使用防止に役立ちます。例えば、IoT アプリケーションはセンサーに対するプライベート証明書が有効かどうかを、センサーからのデータを受け取る前に確認できます。

一元的な証明書の管理

ACM プライベート CA では、プライベート証明書とパブリック証明書のライフサイクルを管理できます。ACM プライベート CA を利用すると、Elastic Load Balancing や API Gateway などの ACM に統合されたサービスに使う証明書の管理を ACM に委任するよう選択できます。プライベート証明書は、AWS マネジメントコンソールまたは AWS API を用いて容易に作成、デプロイできます。ACM は、これらの証明書の更新とデプロイを自動化します。ACM プライベート CA は、オンプレミスリソース、EC2 インスタンス、IoT デバイスに対するプライベート証明書の作成と更新を自動的に行う API も提供します。ACM プライベート CA は、ACM 証明書の管理なしで自分自身でプライベート証明書を管理する柔軟性を与えてくれます。

完全な CA 階層

ACM プライベート CA を使用すれば、CA 管理者は外部 CA を必要とせずに、ルート CA や下位 CA を含む柔軟な CA 階層を作成できます。お客様は独自のオンプレミス CA インフラストラクチャを構築および維持することなく、ACM プライベート CA が利用可能なすべて AWS リージョンで、セキュアで可用性の高い CA を作成できます。あるいは、CA の階層をオンライン CA とオンプレミス CA を組み合わせたハイブリッドモードでも構築できます。管理が簡単なことに加え、ACM プライベート CA はお客様の社内コンプライアンス規則やセキュリティのベストプラクティスに従い、CA を運用するために不可欠なセキュリティも提供します。

開発者の俊敏性を実現

ACM プライベート CA は、わずかな API コールだけで証明書を作成、デプロイする俊敏性を提供します。ACM プライベート CA では、AWS アカウントにリンクされたプライベート CA からの証明書を開発者がリクエストできるようにすることで、プライベート証明書の管理を開発者に委任できるようにします。また有効期限の短い証明書を多数必要とするユースケースでは、証明書の作成を自動化できます。例えば、Auto Scaling 環境での新規 EC2 インスタンスとコンテナを特定する証明書を自動的に作成、デプロイしたり、AWS Lambda 関数から送信されたイベント通知メッセージを認証したりできます。

プライベート証明書をカスタマイズする柔軟性

ACM プライベート CA は ACM 証明書の管理なしでスタンドアロンサービスとして使え、カスタムリソース名や有効期限のある証明書など、カスタマイズされたプライベート証明書の作成とデプロイができます。この柔軟性はリソースを具体的な名前で特定する必要のあるユースケースで役に立ちます。例えば、デバイスをそのシリアル番号で特定する場合、または証明書が製造過程でハードウェアデバイスに組み込まれているなど、証明書が容易には更新できない場合に有用です。

従量制料金

ACM プライベート CA は、従来の市販されているオプションに比べてコスト効果が高くなります。ACM プライベート CA は、作成、デプロイしたサービスと証明書に対する月々のお支払いが可能です。使用する証明書の数が増えると支払いは少なくなります。料金の詳細については、こちらをご覧ください。

機能

AWS マネージド型認証機関

ACM プライベート CA は、ハードウェアのプロビジョニング、ソフトウェアへのパッチ適用、高可用性、バックアップといった時間のかかる管理タスクを自動化するマネージド型のサービスです。ACM プライベート CA は、可用性の高いプライベート CA としてのセキュリティ、設定、管理、モニタリングを提供します。ACM プライベート CA では、RSA 2048 または 4096、および ECDSA P256 または P384 など、いくつかの CA キーアルゴリズムとキーサイズから選択できます。ACM 

証明書のライフサイクル管理

ACM プライベート CA は ACM と統合されており、パブリックとプライベートの両方の証明書を 1 つのコンソールインターフェイスから管理できます。ACM を使ってプライベート CA から証明書をリクエストすると、ACM はプライベートキーを生成、管理し、証明書を自動的に更新し、証明書を Elastic Load Balancing ロードバランサーや API Gateway エンドポイントを含む ACM 統合のサービスのリソースにデプロイします。ACM はまた API ベースの自動化を用いて、どこにでもプライベート証明書を容易にエクスポート、デプロイします。

セキュアなルート CA と CA 階層管理

ACM プライベート CA 階層は、信頼チェーンの最上位にある最も信頼されるルート CA に対して強力なセキュリティと制限的なアクセス制御を提供しながら、チェーン内の下位にある下位 CA に対するより許容的なアクセスと一括での証明書発行を可能にします。AWS Identity and Access Management (IAM) ポリシーを使用して、新しい CA を作成できるユーザーを制御したり、既存の CA へのアクセスを制限したりできます。階層内のすべての ACM プライベート CA は、FIPS 140-2 レベル 3 ハードウェアで CA プライベートキーを保護します。

HSM によるセキュアな CA キーのキーストレージ

認証機関が証明書に署名するために使うキーは極めて機密性の高いものです。ACM プライベート CA は、AWS マネージド型ハードウェアセキュリティモジュール (HSM) で CA キーの安全性を確保します。これらの HSM は FIPS 140-2 レベル 3 セキュリティ標準に準拠していますので、お客様のプライベート CA をキー侵害から保護するのに有用です。

IAM 統合

プライベート CA サービスへのアクセスは、AWS IAM ポリシーで制御できます。例えば、CA 管理をする IT 管理者に対しては、プライベート CA を作成、設定するためのフルアクセスを与えるポリシーを作成し、一方証明書の発行と取り消しだけが必要な開発者とユーザーに対しては、制限付きのアクセスを与えることができます。

証明書取り消しリスト (CRL) の生成

ACM プライベート CA は、お使いの Amazon S3 バケットに自動的に証明書取り消しリストを発行して、更新します。アプリケーション、サービス、デバイスは、2 つのリソース間で接続が行われるごとに CRL を用いて証明書のステータスを評価します。例えば、IoT アプリケーションはセンサーに対するプライベート証明書が有効かどうかを、センサーからのデータを受け取る前に確認できます。

API ベースの自動化

ACM プライベート CA と ACM API を用いて、お好きなプログラム言語でコードを書き、証明書管理を自動化できます。AWS SDK は認証をよりシンプルにし、開発環境に効率的に統合できます。またコマンドラインツールを用いてスクリプトまたは 1 回きりのコマンドを書き、サービスを操作することもできます。

カスタマイズ

ACM プライベート CA はスタンドアロンサービスとして使用可能で、証明書やプライベートキーの管理に ACM を使用することなく、直接証明書を発行できます。この方法で使用される場合、証明書は、任意のサブジェクト名で、任意の対応キーアルゴリズム、キーサイズ、署名アルゴリズム、および任意の有効期間 (現時点からの日数、月数、もしくは年数、または特定の終了日) を使って作成できます。

監査とログ記録

ACM プライベート CA は、お客様とその監査役に対して、プライベート CA のアクティビティの可視性を提供します。お客様は、CA から発行された全証明書のステータスを含む監査レポートを作成できます。ACM プライベート CA は AWS CloudTrail と統合されています。CloudTrail は ACM プライベート CA コンソール、CLI、またはお客様のコードからの API コールをキャプチャして、ログファイルを S3 バケットに送信します。CloudTrail の集めた情報を用いると、出されたリクエスト、そのリクエストを出した IP アドレス、出された日時などがわかります。

ArcticWolfNetworksLogo

Arctic Wolf Networks (AWN) は、業界トップの SOC-as-a-service プロバイダーで、オンプレミス、およびクラウドのアプリケーションとインフラストラクチャのために、年中無休 24 時間体制のモニタリング、および管理された脅威検知とレスポンスを提供します。AWN では、当社のセンサーから AWS で実行される専用のセキュリティオペレーションセンターへのセキュアな接続を確保するための証明書の発行に ACM プライベート認証機関 (CA) を使用しています。ACM プライベート CA は、使い慣れた AWS API を使用して当社のインフラストラクチャに統合できるセキュアで管理された CA を提供します。

Michael Hart
インフラストラクチャエンジニアリングディレクター

ユースケース

コンプライアンス要件を満たすのに役立つ

SSL/TLS を簡単に有効にできるため、AWS Certificate Manager は、転送中のデータの暗号化に関する規制やコンプライアンス要件を満たすのに役立ちます。コンプライアンスに関する具体的な情報については、AWS クラウドコンプライアンスのサイトを参照してください。

稼働時間を改善

AWS Certificate Manager はまた、SSL/TLS 証明書の更新など、証明書の維持に関する課題を管理するのにも役立つため、証明書の期限切れについて心配する必要はありません。

AWS Certificate Manager プライベート認証機関の料金の詳細

料金表のページを見る
構築の準備はできましたか?
AWS Certificate Manager の使用を開始する
ご不明な点がおありですか?
お問い合わせ