Verwenden Sie eine dienstverknüpfte Rolle (SLR) mit ACM - AWS Certificate Manager
SLRBerechtigungen für ACMErstellen des für SLR ACMBearbeiten des für SLR ACMLöschen des für SLR ACMUnterstützte Regionen für ACM SLRs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie eine dienstverknüpfte Rolle (SLR) mit ACM

AWS Certificate Manager verwendet ein AWS Identity and Access Management (IAM) Eine dienstbezogene Rolle, um die automatische Verlängerung von privaten Zertifikaten zu ermöglichen, die von einer privaten Zertifizierungsstelle ausgestellt wurden, für ein anderes Konto, das gemeinsam genutzt wird von AWS Resource Access Manager. Eine dienstbezogene Rolle (SLR) ist eine IAM Rolle, die direkt mit dem ACM Dienst verknüpft ist. SLRssind von vordefiniert ACM und enthalten alle Berechtigungen, die der Dienst benötigt, um andere aufzurufen AWS Dienste in Ihrem Namen.

Das SLR ACM erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen für das unbeaufsichtigte Signieren von Zertifikaten nicht manuell hinzufügen müssen. ACMdefiniert die Berechtigungen von Its und ACM kannSLR, sofern nicht anders definiert, nur die Rolle übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.

Informationen zu anderen Diensten, die dies unterstützenSLRs, finden Sie unter AWS Dienste, die mit Diensten arbeiten, IAM und suchen nach den Diensten, für die in der Spalte Serviceverknüpfte Rolle der Wert Ja steht. Wählen Sie Ja mit einem Link, um die SLR Dokumentation für diesen Dienst aufzurufen.

SLRBerechtigungen für ACM

ACMverwendet eine SLR benannte Amazon Certificate Manager Service Role Policy.

The AWSServiceRoleForCertificateManager SLR vertraut darauf, dass die folgenden Dienste diese Rolle übernehmen:

  • acm.amazonaws.com

Die Richtlinie für Rollenberechtigungen ACM ermöglicht es, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:

  • Aktionen: acm-pca:IssueCertificate, acm-pca:GetCertificate auf "*"

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine erstellen, bearbeiten oder löschen kannSLR. Weitere Informationen finden Sie unter Berechtigungen für serviceverknüpfte Rollen im IAMBenutzerhandbuch.

Wichtig

ACMweist Sie möglicherweise darauf hin, dass nicht festgestellt werden kann, ob in Ihrem Konto eine SLR vorhanden ist. Wenn die erforderliche iam:GetRole Genehmigung ACM SLR für Ihr Konto bereits erteilt wurde, wird die Warnung nach der Erstellung des Kontos nicht erneut SLR angezeigt. Wenn sie erneut auftritt, müssen Sie oder Ihr Kontoadministrator möglicherweise die iam:GetRole Genehmigung für die von Ihnen verwaltete ACM Richtlinie erteilen oder Ihr Konto mit dieser verknüpfenACM. AWSCertificateManagerFullAccess

Erstellen des für SLR ACM

Sie müssen das, das ACM verwendetSLR, nicht manuell erstellen. Wenn Sie ein ACM Zertifikat mit dem ausstellen AWS Management Console, der AWS CLI, oder der AWS API, ACM erstellt SLR für Sie beim ersten Mal eine private CA für ein anderes Konto, das gemeinsam genutzt wird von AWS RAM um Ihr Zertifikat zu signieren.

Wenn Sie auf Nachrichten stoßen, die besagen, dass ACM nicht festgestellt werden kann, ob ein auf Ihrem Konto SLR vorhanden ist, kann dies bedeuten, dass Ihr Konto keine Leseberechtigung erteilt hat AWS Private CA benötigt. Dadurch wird die SLR Installation nicht verhindert, und Sie können weiterhin Zertifikate ausstellen, aber ACM Sie können die Zertifikate nicht automatisch erneuern, bis Sie das Problem behoben haben. Weitere Informationen finden Sie unter Probleme mit der ACM serviceverknüpften Rolle () SLR.

Wichtig

Dies SLR kann in Ihrem Konto angezeigt werden, wenn Sie eine Aktion in einem anderen Dienst abgeschlossen haben, der die von dieser Rolle unterstützten Funktionen verwendet. Außerdem, wenn Sie den ACM Dienst vor dem 1. Januar 2017 genutzt haben, als er mit der Unterstützung begannSLRs, und dann die AWSServiceRoleForCertificateManager Rolle in Ihrem Konto ACM erstellt haben. Weitere Informationen finden Sie unter Eine neue Rolle wurde in „Mein IAM Konto“ angezeigt.

Wenn Sie dies SLR löschen und es dann erneut erstellen müssen, können Sie eine der folgenden Methoden verwenden:

  • Wählen Sie in der IAM Konsole Rolle, Rolle erstellen, Certificate Manager aus, um eine neue Rolle mit dem CertificateManagerServiceRolePolicyAnwendungsfall zu erstellen.

  • Verwenden Sie den IAM API CreateServiceLinkedRoleoder den entsprechenden AWS CLI Befehl create-service-linked-role, erstellen Sie eine SLR mit dem acm.amazonaws.com Dienstnamen.

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Erstellen einer dienstbezogenen Rolle.

Bearbeiten des für SLR ACM

ACMerlaubt es Ihnen nicht, die mit dem AWSServiceRoleForCertificateManager Dienst verknüpfte Rolle zu bearbeiten. Nachdem Sie eine erstellt habenSLR, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten möglicherweise auf die Rolle verweisen. Sie können die Beschreibung der Rolle jedoch mithilfe von bearbeitenIAM. Weitere Informationen finden Sie unter Bearbeiten einer dienstbezogenen Rolle im IAMBenutzerhandbuch.

Löschen des für SLR ACM

Normalerweise müssen Sie das nicht löschen AWSServiceRoleForCertificateManager SLR. Sie können die Rolle jedoch manuell über die IAM Konsole löschen, AWS CLI oder das AWS API. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer serviceverknüpften Rolle.

Unterstützte Regionen für ACM SLRs

ACMunterstützt die Verwendung SLRs in allen Regionen, in denen ACM sowohl als auch AWS Private CA sind verfügbar. Weitere Informationen finden Sie unter AWS Regionen und Endpunkte.

Name der Region Regions-ID Support in ACM
USA Ost (Nord-Virginia) us-east-1 Ja
USA Ost (Ohio) us-east-2 Ja
USA West (Nordkalifornien) us-west-1 Ja
USA West (Oregon) us-west-2 Ja
Asien-Pazifik (Mumbai) ap-south-1 Ja
Asien-Pazifik (Osaka) ap-northeast-3 Ja
Asien-Pazifik (Seoul) ap-northeast-2 Ja
Asien-Pazifik (Singapore) ap-southeast-1 Ja
Asien-Pazifik (Sydney) ap-southeast-2 Ja
Asien-Pazifik (Tokyo) ap-northeast-1 Ja
Kanada (Zentral) ca-central-1 Ja
Europa (Frankfurt) eu-central-1 Ja
Europa (Zürich) eu-central-2 Ja
Europa (Ireland) eu-west-1 Ja
Europa (London) eu-west-2 Ja
Europa (Paris) eu-west-3 Ja
Südamerika (São Paulo) sa-east-1 Ja
AWS GovCloud (US-West) us-gov-west-1 Ja
AWS GovCloud (US-Ost) Ost us-gov-east-1 Ja