AWS Certificate Manager（ACM）

AWS 統合コネクタにより、DigiCert® Trust Lifecycle Manager を使用して、Trust Lifecycle Manager アカウントで使用可能ないずれかの発行 CA アカウントから、既存の証明書のインポートと、AWS Certificate Manager（ACM）への新しい証明書の登録と配信の自動化を行うことができます。

このコネクタは、ネットワーク内のオンプレミスの DigiCert センサーを使用して、以下のいずれかのスコープについて AWS（Amazon Web Services）との統合を安全に管理できるように支援します。

組織スコープ: AWS 組織内の複数のアカウントに接続します。
アカウントスコープ: 特定の AWS アカウントに接続します。

コネクタを追加したら、接続された ACM インスタンスから既存の証明書を Trust Lifecycle Manager の一元的なインベントリにインポートするかどうかを選択できます。そこから、証明書ライフサイクルを監視し、新しい証明書と ACM への自動配信を要求し、有効な証明書が常に展開されている状態を保つことができます。

開始する前に

AWS Certificate Manager サービスへの接続を確立して管理するために、ネットワーク上で少なくとも 1 つの DigiCert センサーがアクティブになっている必要があります。詳細については、「センサーを展開および管理する」を参照してください。
「authentication methods」のセクションに記載されているとおり、AWS クレデンシャルを使用してセンサーシステムをセットアップしておくか、またはコネクタの構成に使用する AWS アクセスキーと秘密鍵を手元に用意しておきます。
使用する AWS クレデンシャルが組織スコープまたはアカウントスコープのいずれかについて必要な最小権限を持つ AWS アカウントのものであることを確認します。

認証方法

Trust Lifecycle Manager は、AWS 統合コネクタで AWS（Amazon Web Services）組織またはアカウントに対するさまざまな認証方法をサポートしています。

サポートされている AWS 認証方法

Trust Lifecycle Manager でコネクタをセットアップするために、以下の AWS 認証方法を使用します。構成パラメータ列は、Trust Lifecycle Manager で指定する必要があるパラメータを認証方法ごとに示しています。

認証方法	構成パラメータ	説明
Self-authentication (Direct input)	Access key Secret key	Trust Lifecycle Manager のコネクタ設定ページで、AWS クレデンシャルを入力します。
Self-authentication (Secrets manager)	Secrets manager connector Access key Secret key	Use AWS credentials stored in a privileged access management (PAM) platform via a secrets manager connector: Select the Secrets manager connector to use. If there's only one available connector, it preselects. Enter references to the PAM vaults containing the Access key and Secret key. The reference format depends on the PAM service: BeyondTrust: Use the format SystemName/AccountName (for example, `AWSTLM/AdminAccount`). CyberArk: Use the format AccountName (for example, `My-AWS-credentials` ).
Default AWS credential provider chain	—	DigiCert 管理センサーに対して、以下のいずれかの方法で構成されたデフォルトの AWS クレデンシャルを使用します。環境変数: 『AWS の公式ドキュメント』に記載されているとおり、センサーシステムで環境変数として AWS クレデンシャルを設定します。デフォルトプロファイル: 『AWS の公式ドキュメント』に記載されているとおり、AWS クレデンシャルを、センサーシステム上の AWS config ファイルと credentials ファイル内のデフォルトプロファイルに追加します。
AWS profile name	Profile name	『AWS の公式ドキュメント』に記載されているとおり、管理センサー上のローカルの AWS config ファイルおよび credentials ファイル内の名前付きプロファイルから AWS クレデンシャルを使用します。［プロファイル名］パラメータに、センサーシステムで使用する AWS プロファイルの名前を入力します。

DigiCert センサーでのAWS ファイルの場所

デフォルトの AWS クレデンシャルプロバイダチェーンとAWS プロファイル名の認証方法では、DigiCert 管理センサーは、センサーのオペレーティングシステム（OS）に応じて以下のデフォルトディレクトリ内の AWS config ファイルおよび credentials ファイルを探します。

DigiCert センサーの OS	AWS config および credentials ファイルのデフォルトディレクトリ
Windows	C:\Windows\System32\config\systemprofile\.aws
Linux	/root/.aws
Docker	~/.aws/:/root/.aws （注: このパスを、docker-compose.yml ファイル内の「volumes」の下に追加します。）

DigiCert センサーの OS

AWS config および credentials ファイルのデフォルトディレクトリ

Windows

C:\Windows\System32\config\systemprofile\.aws

Linux

/root/.aws

Docker

~/.aws/:/root/.aws

（注: このパスを、docker-compose.yml ファイル内の「volumes」の下に追加します。）

必要な最小権限

AWS 統合コネクタでは、コネクタを組織スコープとアカウントスコープのどちらについて構成するかに応じて、以下の権限を持つ AWS ユーザーのクレデンシャルが必要です。

組織スコープ

AWS 組織で AWS Account Management サービスが有効になっていることを確認します。

AWS 組織の管理アカウントに、以下の権限とインラインのカスタムポリシーを持つユーザーを作成します。

権限

権限	目的
`AWSOrganizationsReadOnlyAccess`	組織のすべてのメンバーアカウントをリストします。
`AWSCertificateManagerFullAccess`	AWS Certificate Manager（ACM）で証明書にアクセスし管理します。
`SecretsManagerReadWrite`	発行された証明書と秘密鍵を ACM に配信する前に、AWS Secrets Manager に秘密鍵を一時的に保管します。以下の点に注意してください。この権限は任意です。省略した場合、AWS Secrets Manager の代わりにDigiCert 管理センサーが一時的な鍵保管に使用されます。証明書が発行され、秘密鍵と一緒に ACM に配信されたら、一時鍵は自動的に削除されます。

インラインのカスタムポリシー

以下に示すとおり、共通の IAM ロールを介して管理アカウントから AWS 組織のメンバーアカウントにアクセスするためのインラインのカスタムポリシーを作成します。

<Common IAM role name> パラメータに、すべてのメンバーアカウントで ACM へのアクセスを提供する共通の IAM ロールの名前を指定します。同じロール名を、DigiCert® Trust Lifecycle Manager でAWS 統合コネクタを構成する際に使用します。

{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Sid": "VisualEditor0",
           "Effect": "Allow",
           "Action": [
               "sts:GetSessionToken",
               "sts:AssumeRole",
               "sts:GetAccessKeyInfo"
            ],
            "Resource": [
               "arn:aws:iam::*:role/<Common IAM role name>"
            ]
       }
   ]
}

注記

デフォルトでは、AWS 組織のすべてのメンバーアカウントが OrganizationAccountAccessRole という共通の IAM ロールを持ちます。このデフォルトの IAM ロールを使用して統合をセットアップできます。また、カスタム IAM ロールを作成してすべてのメンバーアカウントに適用できます。

アカウントスコープ

以下の権限を持つ IAM ユーザーを AWS アカウントに作成します。

権限	目的
`AWSCertificateManagerFullAccess`	AWS Certificate Manager（ACM）で証明書にアクセスし管理します。
`SecretsManagerReadWrite`	発行された証明書と秘密鍵を ACM に配信する前に、AWS Secrets Manager に秘密鍵を一時的に保管します。以下の点に注意してください。この権限は任意です。省略した場合、AWS Secrets Manager の代わりにDigiCert 管理センサーが一時的な鍵保管に使用されます。証明書が発行され、秘密鍵と一緒に ACM に配信されたら、一時鍵は自動的に削除されます。

権限

目的

AWSCertificateManagerFullAccess

AWS Certificate Manager（ACM）で証明書にアクセスし管理します。

SecretsManagerReadWrite

発行された証明書と秘密鍵を ACM に配信する前に、AWS Secrets Manager に秘密鍵を一時的に保管します。以下の点に注意してください。

この権限は任意です。省略した場合、AWS Secrets Manager の代わりにDigiCert 管理センサーが一時的な鍵保管に使用されます。
証明書が発行され、秘密鍵と一緒に ACM に配信されたら、一時鍵は自動的に削除されます。

AWS 統合コネクタを追加する

Trust Lifecycle Manager で AWS 統合コネクタを追加するには、以下の手順に従います。

Trust Lifecycle Manager メインメニューから、［Integrations > Connectors］を選択します。
［コネクタの追加］ボタンを選択します。
［クラウドサービス］の下で、［AWS に統合］のオプションを選択します。
以下の手順に従って、［コネクタの追加］フォームに情報を入力します。
上部のセクションで、コネクタの一般的なプロパティを設定します。
- ［名前］: コネクタが識別しやすくなるように、フレンドリ名を入力します。
- ［事業部門］: 管理目的で、このコネクタの事業部門を選択します。この事業部門に割り当てられたユーザーだけが、コネクタを管理できます。
- ［管理センサー］: AWS（Amazon Web Services）への接続を確立して管理するために、ネットワーク上のアクティブな DigiCert センサーを選択します。
［アカウントのリンク］セクションで、スコープを選択し、要求される情報を入力します。
サイドバー. 組織スコープ
AWS 組織とそのすべての子アカウントに接続するには、以下の手順に従います。
［AWS スコープ］: ［組織］を選択します。
［アカウント ID］: AWS 組織の管理アカウントの ID を入力します。
［IAM ロール］: 管理対象のすべての子アカウントに存在する IAM ロールの名前を入力します。これにより、各アカウントに ACM へのアクセスが提供されます。
［認証方法］: AWS 認証方法を選択し、上記の「authentication methods」のセクションに記載されているとおり、必要な構成パラメータを入力します。
サイドバー. アカウントスコープ
特定の AWS アカウントに接続するには、以下の手順に従います。
［AWS スコープ］: ［アカウント］を選択します。
［アカウント ID］: 接続する AWS アカウントの ID を入力します。
［認証方法］: AWS 認証方法を選択し、上記の「authentication methods」のセクションに記載されているとおり、必要な構成パラメータを入力します。
［追加設定］で、［ACM の再インポートの有効化］チェックボックスを選択して、同じ ARN とサービスバインディングを使用した ACM への証明書の再インポートをサポートします。証明書の要求または自動化を行う際に、管理者は、再インポートをスキップすることができます。
このオプションが有効になっていない場合は、ACM に証明書が配信されるたびに、システムによって新しい ARN が割り当てられます。この場合、既存の証明書に対するサービスバインディングの再設定が必要となります。
重要
ACM 再インポートが機能するのは、新しい証明書が少なくとも 1 つのドメイン名を持ち、鍵用途および拡張鍵用途エクステンション値と一致し、鍵タイプと鍵サイズが元の証明書と同じ場合に限られます。詳細については、『AWS の公式ドキュメント』を参照してください。
接続された AWS アカウントで ACM から Trust Lifecycle Manager に証明書をインポートするには、［属性のインポート］をオンに切り替えて、以下を設定します。
- ［証明書のインポート］: デフォルトでは、有効なすべての証明書がインポートされます。有効期限切れまたは失効した証明書もインポートするかどうかを選択します。失効した証明書の場合、インポート対象の日付範囲を選択します。
- ［事業部門］: （任意）インポートされた証明書を Trust Lifecycle Manager の事業部門に割り当てます。この事業部門の管理者のみが、証明書を管理できます。
- ［証明書割り当て規則］: （任意）インポートされた証明書にメタデータを自動的に割り当てるための割り当て規則を選択します。
- ［インポート頻度］: ACM から新しい証明書をチェックしてインポートする頻度について、スケジュールを選択します（デフォルトは 24 時間おき）。
［Add］を選択し、構成した設定で AWS 統合コネクタを作成します。

次の手順

ディスカバリー

［属性のインポート］を有効にした場合は、Trust Lifecycle Manager では、接続された AWS アカウントで AWS Certificate Manager（ACM）から既存の証明書がインポートされます。
［Integrations > Connectors］ページで、コネクタの名前を選択してコネクタの詳細を表示し、Trust Lifecycle Manager で見つかった資産の数を確認します。［検出された資産］セクション内のリンクを使用して、インベントリ内の該当する資産を表示します。
組織スコープのコネクタの場合、コネクタ詳細ページのアカウントセクションにある［詳細の表示］リンクを選択すると、Trust Lifecycle Manager によって AWS 組織で検出された AWS アカウントの完全な階層が表示されます。

自動化

Trust Lifecycle Manager アカウントで CA から証明書と AWS Certificate Manager（ACM）への自動配信を登録するには、証明書ライフサイクル自動化をセットアップします。
ACM への証明書配信用に作成する証明書自動化プロファイルで、Admin web request 登録方法を選択します。
Trust Lifecycle Manager から新しい証明書を発行し、接続された ACM インスタンスに配信する必要があるときは常に、管理者ウェブ要求機能を使用します。

このセクションの内容: