AWS Certificate Manager (ACM) プライベート認証機関 (CA) はマネージド型のプライベート CA サービスで、プライベート証明書のライフサイクルを容易で安全に管理するのに役立ちます。ACM プライベート CA は高可用性の CA サービスを提供し、自社のプライベート CA を運用するための先行投資や継続的なメンテナンスコストは不要です。ACM プライベート CA は ACM の証明書管理機能をプライベート証明書に拡張し、パブリックおよびプライベートの証明書を一元的に管理できるようにします。デベロッパーにとっては、ACM プライベート CA ではAPI を使ってプライベート証明書をプログラムで作成、デプロイできるようになるので、迅速性が向上します。また、カスタムの証明書使用期限またはリソース名を要するアプリケーションのためのプライベート証明書を作成する柔軟性も得られます。ACM プライベート CA では、接続されたリソースに対するプライベート証明書を、安全で、従量課金制の、マネージド型プライベート CA サービスを用いて一か所で作成、管理できます。

AWS Certificate Manager を開始する

今すぐ無料でお試し
ウェブサイトを保護する

ACM プライベート CA は、プライベート CA を容易で安全に作成する方法を得られ、またこれを用いてプライベート証明書を作成、管理できます。ACM プライベート CA は AWS マネージド型ハードウェアセキュリティモジュール (HSM) でセキュリティを保たれています。これらの HSM は FIPS 140-2 レベル 3 セキュリティ標準に準拠して、プライベート CA のキーを安全に保管します。プライベート CA 管理者は、AWS Identity and Access Management (IAM) のポリシーを使用してアクセスを制限できます。ACM プライベート CA はプライベート証明書のアクティビティへの可視性を提供し、レポートの作成ができます。プライベート CA のアクティビティは、 AWS CloudTrail のログ記録とモニタリングサービスを使って監査できます。ACM プライベート CA はまた証明書取り消しリスト (CRL) を Amazon S3 に自動的に発行、更新しますので、取り消し済みの証明書を使ってしまうことがないように自動的にできます。例えば、IoT アプリケーションはセンサーに対するプライベート証明書が有効かどうかを、センサーからのデータを受け取る前に確認できます。

ウェブサイトを保護する

ACM プライベート CA ではプライベート、パブリック証明書のライフサイクルを管理できます。ACM プライベート CA では、Elastic Load Balancing や API Gateway などの ACM に統合されたサービスに使う証明書の管理を ACM に委任するよう選択できます。プライベート証明書の作成とデプロイは、AWS マネジメントコンソールまたは AWS API を用いて容易に行えます。ACM はこれらの証明書を自動的に更新およびデプロイします。ACM プライベート CA はまた、オンプレミスリソース、EC2 インスタンス、IoT デバイスに対するプライベート証明書の作成と更新を自動的に行う API を提供します。ACM プライベート CA は、ACM 証明書の管理なしで自分自身でプライベート証明書を管理する柔軟性を与えてくれます。

ウェブサイトを保護する

ACM プライベート CA は、2、3 の API コールだけで証明書を作成、デプロイする迅速性を提供します。ACM プライベート CA は、デベロッパーが AWS アカウントにリンクされたプライベート CA からの証明書をリクエストできるようにして、プライベート証明書の管理をデベロッパーに委任できるようにします。また有効期限の短い証明書を多数必要とするユースケースでは、証明書の作成を自動化できます。例えば、auto-scaling 環境での新規 EC2 インスタンスとコンテナを特定する証明書を自動的に作成、デプロイしたり、AWS Lambda 関数から送信されたイベント通知メッセージを認証したりできます。

ウェブサイトを保護する

ACM プライベート CA は ACM 証明書の管理なしでスタンドアロンサービスとして使え、カスタムリソース名や有効期限のある証明書など、カスタマイズされたプライベート証明書の作成とデプロイに使えます。この柔軟性はリソースを具体的な名前で特定する必要のあるユースケースで役に立ち、例えばデバイスをそのシリアル番号で特定する、または証明書が製造過程でハードウェアデバイスに組み込まれている場合など証明書が容易には更新できない場合に有用です。

ウェブサイトを保護する

ACM プライベート CA は従来の、市販されているオプションに比べてコスト効果が高くなります。ACM プライベート CA は作成、デプロイするサービスと証明書に対して月々のお支払いが可能です。使用する証明書の数が増えると支払いは少なくなります。料金の詳細については、こちらをご覧ください。

ウェブサイトを保護する

ACM プライベート CA は、ハードウェアのプロビジョニング、ソフトウェアへのパッチ適用、高可用性、バックアップといった時間のかかる管理タスクを自動化するマネージド型のサービスです。ACM プライベート CA は高可用性プライベート CA と同じセキュリティ、設定、管理、モニタリングを提供します。ACM プライベート CA では、RSA 2048 または 4096、および ECDSA P256 または P384 など、いくつかの CA キーアルゴリズムとキーサイズから選択できます。ACM プライベート CA はお使いの既存のルート CA に「つながれた」下位 CA として動作しますので、会社内で信用された証明書を発行できます。このサービスを使うには自身のルート CA が必要です。

ウェブサイトを保護する

認証機関が証明書に署名するために使うキーは極めて機密性の高いものです。ACM プライベート CA は、AWS マネージド型ハードウェアセキュリティモジュール (HSM) で CA キーの安全性を確保します。これらの HSM は FIPS 140-2 レベル 3 セキュリティ標準に準拠していますので、キー侵害に対してお客様のプライベート CA を保護に有用です。

ウェブサイトを保護する

ACM プライベート CA は ACM と統合されており、パブリック、プライベート証明書両方をひとつのコンソールインターフェイスから管理できます。ACM を使ってプライベート CA から証明書をリクエストすると、ACM はプライベートキーを生成、管理し、証明書を自動的に更新し、証明書を Elastic Load Balancing ロードバランサーや API Gateway エンドポイントを含む ACM 統合のサービスのリソースにデプロイします。ACM はまた API ベースの自動化を用いて、どこにでもプライベート証明書を容易にエクスポート、デプロイします。

ウェブサイトを保護する

プライベート CA サービスへのアクセスは、AWS IAM ポリシーで制限できます。例えば、CA 管理をする IT 管理者に対しては、プライベート CA を作成、設定するためのフルアクセスを与えるポリシーを作成し、一方証明書の発行と取り消しだけしかやらなくて良いデベロッパーとユーザーに対しては制限付きのアクセスを与えることができます。

ウェブサイトを保護する

ACM プライベート CA は、証明書取り消しリストをお使いの Amazon S3 バケットに自動的に発行して、これを更新します。アプリケーション、サービス、デバイスは、2 つのリソース間で接続が行われるごとに CRL を用いて証明書のステータスを評価します。例えば、IoT アプリケーションはセンサーに対するプライベート証明書が有効かどうかを、センサーからのデータを受け取る前に確認できます。

ウェブサイトを保護する

ACM プライベート CA は、お客様とその監査役に対して、プライベート CA のアクティビティへの可視性を与えます。お客様は、CA から発行された全証明書のステータスを含む監査レポートを作成できます。ACM プライベート CA は AWS CloudTrail と統合されています。CloudTrail は ACM プライベート CA コンソール、CLI、またはお客様のコードからの API コールをキャプチャして、ログファイルを S3 バケットに送信します。CloudTrail の集めた情報を用いると、出されたリクエストを識別し、リクエストを出した IP アドレスを求め、いつ行われたか、などがわかります。

ウェブサイトを保護する

ACM プライベート CA と ACM API を用いて、お好きなプログラム言語でコードを書き、証明書管理を自動化できます。AWS SDK は認証をよりシンプルにし、開発環境に効率的に統合できます。またコマンドラインツールを用いてスクリプトまたは一回きりのコマンドを書いて、サービスを操作することもできます。

ウェブサイトを保護する

ACM プライベート CA はスタンドアロンサービスとして使用して、証明書用の ACM やプライベートキーの管理を用いずに直接証明書を発行できます。このように使うと、任意のサブジェクト名で、サポートされた任意のキーアルゴリズム、キーサイズ、署名アルゴリズム、任意の有効期間、 (現在からの日数、月数、年数、または特定の終了日) で証明書を作成できます。

SSL/TLS を簡単に有効にできるため、AWS Certificate Manager は、転送中のデータの暗号化に関する規制やコンプライアンスの要件を企業が満たすのに役立ちます。コンプライアンスに関する具体的な情報については、AWS コンプライアンスのサイトを参照してください。

AWS Certificate Manager は、証明書の更新などを含んで、SSL/TLS 証明書の維持をする課題の管理に役立ち、証明書の期限切れを心配する必要はありません。