AWS Private Certificate Authority のアイコン

AWS Private Certificate Authority

プライベート証明書の発行・管理を行うマネージド認証局サービス

約 1 分で読めます

何ができるか

AWS Private Certificate Authority (Private CA) は、組織内部で使用するプライベート SSL/TLS 証明書を発行・管理するマネージドサービスです。社内アプリケーション、IoT デバイス、VPN、コンテナ間通信などの暗号化に使用するプライベート証明書を、自前の認証局インフラなしに発行できます。

どのような場面で使うか

社内 Web アプリケーションの HTTPS 化、マイクロサービス間の mTLS (相互 TLS) 認証、IoT デバイスの証明書ベース認証、VPN クライアント証明書の発行に利用されます。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

社内の身分証明書発行所に例えられます。公的な身分証 (ACM のパブリック証明書) は役所 (パブリック CA) が発行しますが、社員証 (プライベート証明書) は社内の発行所 (Private CA) が発行します。社内でのみ有効ですが、社内システムへのアクセス認証に使えます。

Private CA とは

AWS Private CA は、プライベート PKI (公開鍵基盤) をマネージドで提供するサービスです。ACM (AWS Certificate Manager) がパブリック証明書を無料で発行するのに対し、Private CA は組織内部で信頼されるプライベート証明書を発行します。ルート CA と下位 CA の階層構造を構築でき、証明書の失効管理 (CRL、OCSP) も提供します。

証明書の発行と管理

Private CA で発行した証明書は ACM に統合され、ELB、CloudFront、API Gateway などの AWS サービスに直接デプロイできます。証明書テンプレートでサーバー証明書、クライアント証明書、コードサイニング証明書などの用途を指定します。証明書の有効期限管理と自動更新も ACM との統合で実現できます。

はじめかた

Private CA コンソールで CA を作成し、CA の種類 (ルート CA / 下位 CA)、キーアルゴリズム、有効期間を設定します。CA が有効化されたら、ACM コンソールまたは API でプライベート証明書をリクエストします。短期証明書モードを選択すると、月額料金が低減されます。

注意点

  • CA ごとに月額 $400 の固定料金が発生する (短期証明書モードは月額 $50)。証明書の発行数に応じた従量課金も別途発生
  • パブリック Web サイトの HTTPS 化には ACM のパブリック証明書 (無料) を使用する。Private CA は社内システム向け

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

IAM Access Analyzer のアイコン IAM Access Analyzer 外部からアクセス可能なリソースと未使用のアクセス権限を検出するサービス AWS Certificate Manager のアイコン AWS Certificate Manager SSL/TLS 証明書のプロビジョニング、管理、デプロイを自動化するサービス AWS Artifact のアイコン AWS Artifact AWS のコンプライアンスレポートと契約書をオンデマンドで取得するサービス AWS CloudHSM のアイコン AWS CloudHSM 専用のハードウェアセキュリティモジュールで暗号鍵を管理するサービス Amazon Cognito のアイコン Amazon Cognito Web・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービス Amazon Detective のアイコン Amazon Detective セキュリティの検出結果を自動分析し、根本原因を調査するサービス AWS Directory Service のアイコン AWS Directory Service AWS でマネージド Active Directory を提供するサービス AWS Firewall Manager のアイコン AWS Firewall Manager AWS Organizations 全体のファイアウォールルールを一元管理するサービス Amazon GuardDuty のアイコン Amazon GuardDuty 機械学習を活用した脅威検出サービス AWS IAM のアイコン AWS IAM AWS リソースへのアクセスを安全に管理するための認証・認可サービス AWS IAM Identity Center のアイコン AWS IAM Identity Center 複数の AWS アカウントと SaaS アプリケーションへのシングルサインオンを提供するサービス Amazon Inspector のアイコン Amazon Inspector EC2 インスタンス、コンテナイメージ、Lambda 関数の脆弱性を自動スキャンするサービス AWS KMS のアイコン AWS KMS データの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス Amazon Macie のアイコン Amazon Macie S3 バケット内の機密データを機械学習で自動検出・保護するサービス AWS Network Firewall のアイコン AWS Network Firewall VPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービス AWS Payment Cryptography のアイコン AWS Payment Cryptography 決済処理に必要な暗号鍵の管理と暗号操作を提供するマネージドサービス AWS Resource Access Manager のアイコン AWS Resource Access Manager AWS リソースを組織内の他のアカウントと安全に共有するサービス AWS Secrets Manager のアイコン AWS Secrets Manager データベースパスワードや API キーを安全に管理・自動ローテーションするサービス AWS Security Hub のアイコン AWS Security Hub AWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス Amazon Security Lake のアイコン Amazon Security Lake セキュリティデータを OCSF 形式で一元集約するデータレイクサービス AWS Shield のアイコン AWS Shield DDoS 攻撃からアプリケーションを保護するマネージドサービス AWS Signer のアイコン AWS Signer コードの署名と検証を行い、信頼されたコードのみがデプロイされることを保証するサービス Amazon Verified Permissions のアイコン Amazon Verified Permissions Cedar ポリシー言語でアプリケーションの認可ロジックを外部化するサービス AWS WAF のアイコン AWS WAF Web アプリケーションを悪意のあるアクセスから保護するファイアウォールサービス