AWS Certificate Manager（ACM）

AWS 統合コネクタにより、DigiCert® Trust Lifecycle Manager を使用して、Trust Lifecycle Manager アカウントで使用可能ないずれかの発行 CA アカウントから、既存の証明書のインポートと、AWS Certificate Manager（ACM）への新しい証明書の登録と配信の自動化を行うことができます。

このコネクタは、ネットワーク内のオンプレミスの DigiCert センサーを使用して、以下のいずれかのスコープについて AWS（Amazon Web Services）との統合を安全に管理できるように支援します。

組織スコープ: AWS 組織内の複数のアカウントに接続します。
アカウントスコープ: 特定の AWS アカウントに接続します。

コネクタを追加したら、接続された ACM インスタンスから既存の証明書を Trust Lifecycle Manager の一元的なインベントリにインポートするかどうかを選択できます。そこから、証明書ライフサイクルを監視し、新しい証明書と ACM への自動配信を要求し、有効な証明書が常に展開されている状態を保つことができます。

重要

For AWS China, the AWS unified connector does not currently support CloudFront or ELB integrations.

開始する前に

AWS Certificate Manager サービスへの接続を確立して管理するために、ネットワーク上で少なくとも 1 つの DigiCert センサーがアクティブになっている必要があります。詳細については、「センサーを展開および管理する」を参照してください。
Set up the required AWS credentials for authenticating the connector. To learn more, see AWS Certificate Manager（ACM）.

AWS 統合コネクタを追加する

Trust Lifecycle Manager で AWS 統合コネクタを追加するには、以下の手順に従います。

Trust Lifecycle Manager メインメニューから、［Integrations > Connectors］を選択します。
［コネクタの追加］ボタンを選択します。
［クラウドサービス］の下で、［AWS に統合］のオプションを選択します。
以下の手順に従って、［コネクタの追加］フォームに情報を入力します。
上部のセクションで、コネクタの一般的なプロパティを設定します。
- ［名前］: コネクタが識別しやすくなるように、フレンドリ名を入力します。
- ［事業部門］: 管理目的で、このコネクタの事業部門を選択します。この事業部門に割り当てられたユーザーだけが、コネクタを管理できます。
- ［管理センサー］: AWS（Amazon Web Services）への接続を確立して管理するために、ネットワーク上のアクティブな DigiCert センサーを選択します。
［アカウントのリンク］セクションで、スコープを選択し、要求される情報を入力します。
サイドバー. 組織スコープ
AWS 組織とそのすべての子アカウントに接続するには、以下の手順に従います。
［AWS スコープ］: ［組織］を選択します。
［アカウント ID］: AWS 組織の管理アカウントの ID を入力します。
［IAM ロール］: 管理対象のすべての子アカウントに存在する IAM ロールの名前を入力します。これにより、各アカウントに ACM へのアクセスが提供されます。
Organizational unit ID (optional): To limit the scope of the connector, enter the ID of an organizational unit (OU) containing the AWS accounts and nested OUs to manage. Leave empty to manage all accounts in the organization.
Authentication method: Select an AWS authentication method and fill in the requested configuration parameters for it. To learn more, see authentication methods.
サイドバー. アカウントスコープ
特定の AWS アカウントに接続するには、以下の手順に従います。
［AWS スコープ］: ［アカウント］を選択します。
［アカウント ID］: 接続する AWS アカウントの ID を入力します。
Authentication method: Select an AWS authentication method and fill in the requested configuration parameters for it. To learn more, see authentication methods.
［追加設定］で、［ACM の再インポートの有効化］チェックボックスを選択して、同じ ARN とサービスバインディングを使用した ACM への証明書の再インポートをサポートします。証明書の要求または自動化を行う際に、管理者は、再インポートをスキップすることができます。
このオプションが有効になっていない場合は、ACM に証明書が配信されるたびに、システムによって新しい ARN が割り当てられます。この場合、既存の証明書に対するサービスバインディングの再設定が必要となります。
重要
ACM 再インポートが機能するのは、新しい証明書が少なくとも 1 つのドメイン名を持ち、鍵用途および拡張鍵用途エクステンション値と一致し、鍵タイプと鍵サイズが元の証明書と同じ場合に限られます。詳細については、『AWS の公式ドキュメント』を参照してください。
接続された AWS アカウントで ACM から Trust Lifecycle Manager に証明書をインポートするには、［属性のインポート］をオンに切り替えて、以下を設定します。
- ［証明書のインポート］: デフォルトでは、有効なすべての証明書がインポートされます。有効期限切れまたは失効した証明書もインポートするかどうかを選択します。失効した証明書の場合、インポート対象の日付範囲を選択します。
- ［事業部門］: （任意）インポートされた証明書を Trust Lifecycle Manager の事業部門に割り当てます。この事業部門の管理者のみが、証明書を管理できます。
- ［証明書割り当て規則］: （任意）インポートされた証明書にメタデータを自動的に割り当てるための割り当て規則を選択します。
- ［インポート頻度］: ACM から新しい証明書をチェックしてインポートする頻度について、スケジュールを選択します（デフォルトは 24 時間おき）。
［Add］を選択し、構成した設定で AWS 統合コネクタを作成します。

次の手順

ディスカバリー

Trust Lifecycle Manager imports certificates from any CloudFront distributions and Elastic Load Balancing (ELB) Application, Network, or Classic load balancers in the connected AWS account(s).
［属性のインポート］を有効にした場合は、Trust Lifecycle Manager では、接続された AWS アカウントで AWS Certificate Manager（ACM）から既存の証明書がインポートされます。
On the Integrations > Connectors page, select the connector by name to view the connector details and see the number of assets Trust Lifecycle Manager found on it. You can use the links in the Assets found section to view those assets in your inventory.
組織スコープのコネクタの場合、コネクタ詳細ページのアカウントセクションにある［詳細の表示］リンクを選択すると、Trust Lifecycle Manager によって AWS 組織で検出された AWS アカウントの完全な階層が表示されます。

自動化

Use the managed automation solution to automate certificate deployments for the services in connected AWS accounts, as follows:

AWS service	Automation setup
AWS Certificate Manager (ACM)	Select the `Admin web request` enrollment method in certificate profiles for automated delivery to ACM. Use the Admin web request function to request a new certificate from Trust Lifecycle Manager and deliver it to ACM in the connected AWS accounts.
CloudFront	Select the `DigiCert sensor` enrollment method in certificate profiles for automating the certificates deployed in CloudFront distributions.
Elastic Load Balancing (ELB)	Select the `DigiCert sensor` enrollment method in certificate profiles for automating the certificates deployed on ELB load balancers. To learn more, see GCP ロードバランサーの資産を表示および管理する.

Endpoint locations for AWS certificates

The Inventory > Endpoints table uses the following formats for the endpoint Location field values of certificates deployed to AWS services and accessed via an AWS unified connector:

AWS service	Endpoint location value	Example
AWS Certificate Manager (ACM)	The Amazon Resource Name (ARN) for the certificate object.	`arn:aws:acm:us-east-1:123456789012:certificate/7f3c9d21-b8a4-4e6f-a2d7-91c5e8b4f632`
CloudFront	The ARN for the CloudFront distribution.	`arn:aws:cloudfront::123456789012:distribution/E1ABCDEF234567:443`
Elastic Load Balancing (ELB)	The ARN for the ELB listener.	`arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/net/my-network-lb/1234567890abcdef/abcdef1234567890:443`

ヒント

Use the IP/Port filter in the Location column header to filter by specific parts of the endpoint location value, such as the AWS region (us-east-1) or account ID (123456789012).

このセクションの内容: