AWS Certificate Manager (ACM) プライベート認証機関 (CA) はマネージド型のプライベート CA サービスで、プライベート証明書のライフサイクルを簡単かつ安全に管理するのに役立ちます。ACM プライベート CA では、自社のプライベート CA を運用するための先行投資や継続的なメンテナンスにコストのかからない、可用性の高いプライベート CA サービスを提供します。ACM プライベート CA は、ACM の証明書管理機能をプライベート証明書に拡張し、パブリック証明書とプライベート証明書を集中的に管理できるようにします。ACM プライベート CA では、デベロッパーの方は API を用いてプログラムでプライベート証明書を作成、デプロイできるようになり、迅速性が向上します。また、カスタム証明書ライフタイムやリソース名を必要とするアプリケーション用にプライベート証明書を作成するといった柔軟性も得られます。ACM プライベート CA では、接続されたリソースに対するプライベート証明書を、安全で、従量課金制の、マネージド型プライベート CA サービスを用いて 1 か所で作成、管理できます。

AWS Summit サンフランシスコ 2018 - AWS Certificate Manager プライベート認証機関

利点

安全なマネージド型プライベート認証機関

ACM プライベート CA では、プライベート CA を容易かつ安全に作成する方法を提供しており、またこれを用いてプライベート証明書を作成、管理できます。ACM プライベート CA は AWS マネージド型ハードウェアセキュリティモジュール (HSM) でセキュリティを確保しています。これらの HSM は FIPS 140-2 レベル 3 セキュリティ標準に準拠しており、プライベート CA のキーを安全に保管します。プライベート CA 管理者は、AWS Identity and Access Management (IAM) のポリシーを使用してアクセスを制御できます。ACM プライベート CA によりプライベート証明書のアクティビティが可視化され、レポートの作成が可能になります。プライベート CA のアクティビティは、AWS CloudTrail のログ記録とモニタリングサービスを使って監査できます。またACM プライベート CA は、証明書取り消しリスト (CRL) を Amazon S3 に自動的に発行、更新しますので、取り消し済み証明書の使用防止に役立ちます。例えば、IoT アプリケーションはセンサーに対するプライベート証明書が有効かどうかを、センサーからのデータを受け取る前に確認できます。

一元的な証明書の管理

ACM プライベート CA では、プライベート証明書とパブリック証明書のライフサイクルを管理できます。ACM プライベート CA を利用すると、Elastic Load Balancing や API Gateway などの ACM に統合されたサービスに使う証明書の管理を ACM に委任するよう選択できます。プライベート証明書は、AWS マネジメントコンソールまたは AWS API を用いて容易に作成、デプロイできます。ACM は、これらの証明書の更新とデプロイを自動化します。ACM プライベート CA は、オンプレミスリソース、EC2 インスタンス、IoT デバイスに対するプライベート証明書の作成と更新を自動的に行う API も提供します。ACM プライベート CA は、ACM 証明書の管理なしで自分自身でプライベート証明書を管理する柔軟性を与えてくれます。

開発者の俊敏性を実現

ACM プライベート CA は、わずかな API コールだけで証明書を作成、デプロイする俊敏性を提供します。ACM プライベート CA では、AWS アカウントにリンクされたプライベート CA からの証明書を開発者がリクエストできるようにすることで、プライベート証明書の管理を開発者に委任できるようにします。また有効期限の短い証明書を多数必要とするユースケースでは、証明書の作成を自動化できます。例えば、Auto Scaling 環境での新規 EC2 インスタンスとコンテナを特定する証明書を自動的に作成、デプロイしたり、AWS Lambda 関数から送信されたイベント通知メッセージを認証したりできます。

プライベート証明書をカスタマイズする柔軟性

ACM プライベート CA は ACM 証明書の管理なしでスタンドアロンサービスとして使え、カスタムリソース名や有効期限のある証明書など、カスタマイズされたプライベート証明書の作成とデプロイができます。この柔軟性はリソースを具体的な名前で特定する必要のあるユースケースで役に立ちます。例えば、デバイスをそのシリアル番号で特定する場合、または証明書が製造過程でハードウェアデバイスに組み込まれているなど、証明書が容易には更新できない場合に有用です。

従量制料金

ACM プライベート CA は、従来の市販されているオプションに比べてコスト効果が高くなります。ACM プライベート CA は、作成、デプロイしたサービスと証明書に対する月々のお支払いが可能です。使用する証明書の数が増えると支払いは少なくなります。料金の詳細については、こちらをご覧ください。

特徴

AWS マネージド型認証機関

ACM プライベート CA は、ハードウェアのプロビジョニング、ソフトウェアへのパッチ適用、高可用性、バックアップといった時間のかかる管理タスクを自動化するマネージド型のサービスです。ACM プライベート CA は、可用性の高いプライベート CA としてのセキュリティ、設定、管理、モニタリングを提供します。ACM プライベート CA では、RSA 2048 または 4096、および ECDSA P256 または P384 など、いくつかの CA キーアルゴリズムとキーサイズから選択できます。ACM プライベート CA はお使いの既存のルート CA に「つながれた」下位 CA として動作しますので、会社内で信用された証明書を発行できます。このサービスを使うには自身のルート CA が必要です。

証明書のライフサイクル管理

ACM プライベート CA は ACM と統合されており、パブリックとプライベートの両方の証明書を 1 つのコンソールインターフェイスから管理できます。ACM を使ってプライベート CA から証明書をリクエストすると、ACM はプライベートキーを生成、管理し、証明書を自動的に更新し、証明書を Elastic Load Balancing ロードバランサーや API Gateway エンドポイントを含む ACM 統合のサービスのリソースにデプロイします。ACM はまた API ベースの自動化を用いて、どこにでもプライベート証明書を容易にエクスポート、デプロイします。

監査とログ記録

ACM プライベート CA は、お客様とその監査役に対して、プライベート CA のアクティビティの可視性を提供します。お客様は、CA から発行された全証明書のステータスを含む監査レポートを作成できます。ACM プライベート CA は AWS CloudTrail と統合されています。CloudTrail は ACM プライベート CA コンソール、CLI、またはお客様のコードからの API コールをキャプチャして、ログファイルを S3 バケットに送信します。CloudTrail の集めた情報を用いると、出されたリクエスト、そのリクエストを出した IP アドレス、出された日時などがわかります。

HSM による安全な CA キーのキーストレージ

認証機関が証明書に署名するために使うキーは極めて機密性の高いものです。ACM プライベート CA は、AWS マネージド型ハードウェアセキュリティモジュール (HSM) で CA キーの安全性を確保します。これらの HSM は FIPS 140-2 レベル 3 セキュリティ標準に準拠していますので、お客様のプライベート CA をキー侵害から保護するのに有用です。

IAM 統合

プライベート CA サービスへのアクセスは、AWS IAM ポリシーで制御できます。例えば、CA 管理をする IT 管理者に対しては、プライベート CA を作成、設定するためのフルアクセスを与えるポリシーを作成し、一方証明書の発行と取り消しだけが必要な開発者とユーザーに対しては、制限付きのアクセスを与えることができます。

証明書取り消しリスト (CRL) の生成

ACM プライベート CA は、お使いの Amazon S3 バケットに自動的に証明書取り消しリストを発行して、更新します。アプリケーション、サービス、デバイスは、2 つのリソース間で接続が行われるごとに CRL を用いて証明書のステータスを評価します。例えば、IoT アプリケーションはセンサーに対するプライベート証明書が有効かどうかを、センサーからのデータを受け取る前に確認できます。

API ベースの自動化

ACM プライベート CA と ACM API を用いて、お好きなプログラム言語でコードを書き、証明書管理を自動化できます。AWS SDK は認証をよりシンプルにし、開発環境に効率的に統合できます。またコマンドラインツールを用いてスクリプトまたは 1 回きりのコマンドを書き、サービスを操作することもできます。

カスタマイズ

ACM プライベート CA はスタンドアロンサービスとして使用可能で、証明書やプライベートキーの管理に ACM を使用することなく、直接証明書を発行できます。スタンドアロンで使う場合、証明書を任意のサブジェクト名で、またサポートされた任意のキーアルゴリズム、キーサイズ、署名アルゴリズム、任意の有効期間 (現在からの日数、月数、年数、または特定の終了日) で作成できます。

ユースケース

コンプライアンス要件を満たすのに役立つ

SSL/TLS を簡単に有効にできるため、AWS Certificate Manager は、転送中のデータの暗号化に関する規制やコンプライアンス要件を満たすのに役立ちます。コンプライアンスに関する具体的な情報については、AWS クラウドコンプライアンスのサイトを参照してください。

稼働時間を改善

AWS Certificate Manager はまた、SSL/TLS 証明書の更新など、証明書の維持に関する課題を管理するのにも役立つため、証明書の期限切れについて心配する必要はありません。

AWS Certificate Manager プライベート認証機関の料金の詳細

料金表のページを見る
構築の準備はできましたか?
AWS Certificate Manager の使用を開始する
ご不明な点がおありですか?
お問い合わせ