Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sie können AWS Private CA Ihre ACM-Zertifikate in einem von zwei Fällen zum Signieren verwenden:
-
Einzelkonto: Die signierende Zertifizierungsstelle und das ausgestellte AWS Certificate Manager (ACM-) Zertifikat befinden sich in demselben Konto. AWS
Damit die Ausstellung und Erneuerung von Einzelkonten möglich ist, muss der AWS Private CA -Administrator dem ACM-Service-Prinzipal die Berechtigung zum Erstellen, Abrufen und Auflisten von Zertifikaten erteilen. Dies erfolgt mithilfe der AWS Private CA API-Aktion CreatePermissionoder des AWS CLI Befehls create-permission. Der Kontobesitzer weist diese Berechtigungen einem IAM-Benutzer, einer IAM-Gruppe oder -Rolle zu, die für die Ausstellung der Zertifikate zuständig ist.
-
Kontoübergreifend: Die signierende Zertifizierungsstelle und das ausgestellte ACM-Zertifikat befinden sich in unterschiedlichen AWS Konten, und der Zugriff auf die Zertifizierungsstelle wurde dem Konto gewährt, auf dem sich das Zertifikat befindet.
Um die kontoübergreifende Ausstellung und Verlängerung zu ermöglichen, muss der AWS Private CA Administrator der CA mithilfe der API-Aktion oder des Befehls put-policy eine ressourcenbasierte Richtlinie hinzufügen. AWS Private CAPutPolicyAWS CLI Die Richtlinie gibt Prinzipale in anderen Konten an, denen eingeschränkter Zugriff auf die Zertifizierungsstelle gewährt wird. Weitere Informationen finden Sie unter Verwendung von ressourcenbasierten Richtlinien mit ACM Private CA.
Das kontenübergreifende Szenario erfordert außerdem, dass ACM eine service-verknüpfte Rolle (SLR) einrichten muss, um als Prinzipal mit der PCA-Richtlinie zu interagieren. ACM erstellt die SLR automatisch während der Ausstellung des ersten Zertifikats.
ACM weist Sie möglicherweise darauf hin, dass es nicht feststellen kann, ob eine Spiegelreflexkamera in Ihrem Konto vorhanden ist. Wenn die erforderliche
iam:GetRole-Berechtigung bereits der ACM-SLR für Ihr Konto erteilt wurde, wird die Warnung nach der Erstellung der Spiegelreflexkamera nicht mehr angezeigt. Wenn dies erneut auftritt, müssen Sie oder Ihr Kontoadministrator möglicherweise dieiam:GetRoleBerechtigung für ACM, oder verknüpfen Sie Ihr Konto mit der von ACM verwalteten RichtlinieAWSCertificateManagerFullAccessaus.Weitere Informationen finden Sie unter Verwenden von serviceverknüpften ACM-Rollen.
Wichtig
Ihr ACM-Zertifikat muss aktiv mit einem unterstützten AWS Dienst verknüpft sein, bevor es automatisch verlängert werden kann. Informationen zu den von ACM unterstützten Ressourcen finden Sie unter In ACM integrierte Dienste.
