Skip to main content

AWS Certificate Manager(ACM)

AWS 統合コネクタにより、DigiCert​​®​​ Trust Lifecycle Manager を使用して、Trust Lifecycle Manager アカウントで使用可能ないずれかの発行 CA アカウントから、既存の証明書のインポートと、AWS Certificate Manager(ACM)への新しい証明書の登録と配信の自動化を行うことができます。

このコネクタは、ネットワーク内のオンプレミスの DigiCert センサーを使用して、以下のいずれかのスコープについて AWS(Amazon Web Services)との統合を安全に管理できるように支援します。

  • 組織スコープ: AWS 組織内の複数のアカウントに接続します。

  • アカウントスコープ: 特定の AWS アカウントに接続します。

認証方法

Trust Lifecycle Manager は、AWS 統合コネクタで AWS(Amazon Web Services)組織またはアカウントに対するさまざまな認証方法をサポートしています。

Use one of the following AWS authentication methods to set up the connector in Trust Lifecycle Manager. The Configuration parameters column shows the parameters you need to provide in Trust Lifecycle Manager for each authentication method.

Authentication method

Configuration parameters

Description

Self-authentication (Direct input)

  • Access key

  • Secret key

Trust Lifecycle Manager のコネクタ設定ページで、AWS クレデンシャルを入力します。

Self-authentication (Secrets manager)

  • Secrets manager connector

  • Access key

  • Secret key

Use AWS credentials stored in a privileged access management (PAM) platform via a secrets manager connector:

  1. Select the Secrets manager connector to use. If there's only one available connector, it preselects.

  2. Enter references to the PAM vaults containing the Access key and Secret key. The reference format depends on the PAM service:

    • BeyondTrust: Use the format SystemName/AccountName (for example, AWSTLM/AdminAccount).

    • CyberArk: Use the format AccountName (for example, My-AWS-credentials ).

    • Delinea: Use the format SecretID/FieldSlug (for example, 1234/My-AWS-credentials). If no FieldSlug is specified, 'password' is used by default.

Default AWS credential provider chain

DigiCert 管理センサーに対して、以下のいずれかの方法で構成されたデフォルトの AWS クレデンシャルを使用します。

  • 環境変数: 『AWS の公式ドキュメント』に記載されているとおり、センサーシステムで環境変数として AWS クレデンシャルを設定します。

  • デフォルトプロファイル: 『AWS の公式ドキュメント』に記載されているとおり、AWS クレデンシャルを、センサーシステム上の AWS config ファイルと credentials ファイル内のデフォルトプロファイルに追加します。

AWS profile name

  • Profile name

AWS の公式ドキュメント』に記載されているとおり、管理センサー上のローカルの AWS config ファイルおよび credentials ファイル内の名前付きプロファイルから AWS クレデンシャルを使用します。[プロファイル名] パラメータに、センサーシステムで使用する AWS プロファイルの名前を入力します。

デフォルトの AWS クレデンシャルプロバイダチェーンAWS プロファイル名の認証方法では、DigiCert 管理センサーは、センサーのオペレーティングシステム(OS)に応じて以下のデフォルトディレクトリ内の AWS config ファイルおよび credentials ファイルを探します。

必要な最小権限

AWS 統合コネクタでは、コネクタを組織スコープとアカウントスコープのどちらについて構成するかに応じて、以下の権限を持つ AWS ユーザーのクレデンシャルが必要です。

注記

This following instructions focus on AWS-managed permissions, the recommended approach for ease of setup and maintenance. For information about using granular AWS permissions instead, see Granular permissions for AWS connectors.

To use the management account to authenticate an AWS unified connector with organization scope:

  1. Make sure the AWS Account Management service is enabled for the AWS organization.

  2. Create a user in the management account for the AWS organization, with the following AWS-managed permissions:

    Permission

    Purpose

    AWSOrganizationsReadOnlyAccess

    List all member accounts in the organization.

    AWSCertificateManagerFullAccess

    Access and manage certificates in AWS Certificate Manager (ACM).

    ElasticLoadBalancingFullAccess

    Manage certificates associated with Elastic Load Balancing (ELB) listeners.

    CloudFrontFullAccess

    Manage certificates associated with CloudFront distributions.

    IAMReadOnlyAccess

    Discover IAM server certificates.

    SecretsManagerReadWrite

    Temporarily store private keys in AWS Secrets Manager before delivering issued certificates and their private keys to ACM. Note that:

    • This permission is optional. If omitted, the managing DigiCert sensor is used for temporary key storage instead of AWS Secrets Manager.

    • Temporary keys get automatically deleted once certificates are issued and delivered to ACM along with their private keys.

  3. Apply the following inline custom policy to the management account user, to enable access to the AWS organization's member accounts via a common IAM role:

    {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "VisualEditor0",
               "Effect": "Allow",
               "Action": [
                   "sts:AssumeRole",
                   "sts:GetSessionToken",
                   "sts:GetAccessKeyInfo"
                ],
                "Resource": [
                   "arn:aws:iam::*:role/<Common IAM role name>"
                ]
           }
       ]
    }

    For the <Common IAM role name> parameter, provide the name of a common IAM role to use for setting up access to the member accounts. You will provide this role name when configuring the AWS unified connector in Trust Lifecycle Manager.

    注記

    デフォルトでは、AWS 組織のすべてのメンバーアカウントが OrganizationAccountAccessRole という共通の IAM ロールを持ちます。このデフォルトの IAM ロールを使用して統合をセットアップできます。また、カスタム IAM ロールを作成してすべてのメンバーアカウントに適用できます。

  4. Make sure the common IAM role referenced in the previous step is applied to all the member accounts to manage, and includes the following AWS-managed permissions:

    • AWSCertificateManagerFullAccess

    • ElasticLoadBalancingFullAccess

    • CloudFrontFullAccess

    • IAMReadOnlyAccess

To use a member (non-management) account to authenticate an AWS unified connector with organization scope:

  1. Make sure the AWS Account Management service is enabled for the AWS organization.

  2. Create a user in the member account to use for authentication, with the following AWS-managed permissions:

    Permission

    Purpose

    AWSOrganizationsReadOnlyAccess

    Validate access to the AWS Organizations service.

    AWSCertificateManagerFullAccess

    Access and manage certificates in AWS Certificate Manager (ACM).

    ElasticLoadBalancingFullAccess

    Manage certificates associated with Elastic Load Balancing (ELB) listeners.

    CloudFrontFullAccess

    Manage certificates associated with CloudFront distributions.

    IAMReadOnlyAccess

    Discover IAM server certificates.

    SecretsManagerReadWrite

    Temporarily store private keys in AWS Secrets Manager before delivering issued certificates and their private keys to ACM. Note that:

    • This permission is optional. If omitted, the managing DigiCert sensor is used for temporary key storage instead of AWS Secrets Manager.

    • Temporary keys get automatically deleted once certificates are issued and delivered to ACM along with their private keys.

  3. Apply the following inline custom policy to the member account user, for accessing the AWS organization's other member accounts:

    {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "VisualEditor0",
               "Effect": "Allow",
               "Action": [
                   "sts:AssumeRole",
                   "sts:GetSessionToken",
                   "sts:GetAccessKeyInfo"
                ],
                "Resource": "arn:aws:iam::*:role/*"
           }
       ]
    }
  4. Create a custom role (for example, CrossAccountAccess) in the management account, with the following properties:

    • Trusts the user account created in step 2.

    • Includes the AWSOrganizationsReadOnlyAccess permission.

    • (Optional) To discover certificates in the management account itself, also includes the AWSCertificateManagerFullAccess permission.

  5. Create a custom role in all the child accounts to manage through the connector, with the following properties:

    • Same name as the custom role created in the management account in step 4.

    • Trusts the member account user created in step 2.

    • Includes the following AWS-managed permissions:

以下の権限を持つ IAM ユーザーを AWS アカウントに作成します。

権限

目的

AWSCertificateManagerFullAccess

AWS Certificate Manager(ACM)で証明書にアクセスし管理します。

ElasticLoadBalancingFullAccess

Manage certificates associated with Elastic Load Balancing (ELB) listeners.

CloudFrontFullAccess

Manage certificates associated with CloudFront distributions.

IAMReadOnlyAccess

Discover IAM server certificates.

SecretsManagerReadWrite

発行された証明書と秘密鍵を ACM に配信する前に、AWS Secrets Manager に秘密鍵を一時的に保管します。以下の点に注意してください。

  • この権限は任意です。省略した場合、AWS Secrets Manager の代わりにDigiCert 管理センサーが一時的な鍵保管に使用されます。

  • 証明書が発行され、秘密鍵と一緒に ACM に配信されたら、一時鍵は自動的に削除されます。

次の手順

After setting up the AWS credentials to use for authentication, you're ready to add an AWS unified connector in Trust Lifecycle Manager.