Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Fügen Sie eine Richtlinie für den kontoübergreifenden Zugriff bei

Fokusmodus
Fügen Sie eine Richtlinie für den kontoübergreifenden Zugriff bei - AWS Private Certificate Authority

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn sich der Zertifizierungsstellenadministrator und der Zertifikatsaussteller in unterschiedlichen AWS Konten befinden, muss sich der Zertifizierungsstellenadministrator den Zugriff auf die Zertifizierungsstelle teilen. Dies wird erreicht, indem eine ressourcenbasierte Richtlinie an die Zertifizierungsstelle angehängt wird. Die Richtlinie gewährt einem bestimmten Prinzipal, bei dem es sich um einen AWS Kontoinhaber, einen IAM Benutzer, eine ID oder eine AWS Organizations Organisationseinheits-ID handeln kann, Erteilungsberechtigungen.

Ein CA-Administrator kann Richtlinien auf folgende Weise anhängen und verwalten:

  • Verwenden Sie in der Managementkonsole AWS Resource Access Manager (RAM), eine Standardmethode für die gemeinsame Nutzung von AWS Ressourcen zwischen Konten. Wenn Sie eine CA-Ressource AWS RAM mit einem Principal in einem anderen Konto teilen, wird die erforderliche ressourcenbasierte Richtlinie automatisch an die CA angehängt. Weitere Informationen zu RAM finden Sie im AWS RAM Benutzerhandbuch.

    Anmerkung

    Sie können die RAM Konsole ganz einfach öffnen, indem Sie eine Zertifizierungsstelle und dann Aktionen, Ressourcenfreigaben verwalten auswählen.

  • Programmgesteuert mithilfe von PCA APIs PutPolicyGetPolicy, und. DeletePolicy

  • Manuell mithilfe der PCA Befehle put-policy, get-policy und delete-policy in der. AWS CLI

Nur die Konsolenmethode erfordert Zugriff. RAM

Kontoübergreifender Fall 1: Ausstellung eines verwalteten Zertifikats über die Konsole

In diesem Fall verwendet der Zertifizierungsstellenadministrator AWS Resource Access Manager (AWS RAM), um den CA-Zugriff mit einem anderen AWS Konto zu teilen, sodass dieses Konto verwaltete ACM Zertifikate ausstellen kann. Das Diagramm zeigt, AWS RAM dass die Zertifizierungsstelle direkt mit dem Konto oder indirekt über eine AWS Organizations ID, der das Konto angehört, gemeinsam genutzt werden kann.

Kontoübergreifende Ausgabe mit der Konsole

Nach der RAM Freigabe einer Ressource muss AWS Organizations der Principal des Empfängers die Ressource akzeptieren, damit sie wirksam wird. Der Empfänger kann so konfigurieren AWS Organizations , dass angebotene Shares automatisch akzeptiert werden.

Anmerkung

Das Empfängerkonto ist für die Konfiguration der automatischen Verlängerung in verantwortlich. ACM In der Regel wird bei der ersten Verwendung einer gemeinsam genutzten Zertifizierungsstelle eine dienstbezogene Rolle ACM installiert, die es ihr ermöglicht, unbeaufsichtigte Zertifikatsanrufe zu tätigen. AWS Private CA Schlägt dies fehl (in der Regel aufgrund einer fehlenden Berechtigung), werden die Zertifikate der Zertifizierungsstelle nicht automatisch erneuert. Nur der ACM Benutzer kann das Problem lösen, nicht der CA-Administrator. Weitere Informationen finden Sie unter Verwenden einer dienstverknüpften Rolle (SLR) mit ACM.

Kontenübergreifender Fall 2: Ausstellen verwalteter und nicht verwalteter Zertifikate mit dem oder API CLI

In diesem zweiten Fall werden die Optionen für die gemeinsame Nutzung und Ausstellung veranschaulicht, die mit dem und möglich sind. AWS Certificate Manager AWS Private CA API All diese Operationen können auch mit den entsprechenden AWS CLI Befehlen ausgeführt werden.

Kontoübergreifende Emission unter Verwendung der APIs

Da die API Operationen in diesem Beispiel direkt verwendet werden, hat der Zertifikatsaussteller die Wahl zwischen zwei API Vorgängen, um ein Zertifikat auszustellen. Die PCA API Aktion IssueCertificate führt zu einem nicht verwalteten Zertifikat, das nicht automatisch erneuert wird und exportiert und manuell installiert werden muss. Die ACM API Aktion RequestCertificateführt zu einem verwalteten Zertifikat, das einfach auf ACM integrierten Diensten installiert werden kann und automatisch erneuert wird.

Anmerkung

Das Empfängerkonto ist für die Konfiguration der automatischen Verlängerung in ACM verantwortlich. In der Regel wird bei der ersten Verwendung einer gemeinsam genutzten Zertifizierungsstelle eine dienstbezogene Rolle ACM installiert, die es ihr ermöglicht, unbeaufsichtigte Zertifikatsanrufe zu tätigen. AWS Private CA Schlägt dies fehl (in der Regel aufgrund einer fehlenden Berechtigung), werden die Zertifikate der Zertifizierungsstelle nicht automatisch erneuert, und nur der ACM Benutzer kann das Problem lösen, nicht der Administrator der Zertifizierungsstelle. Weitere Informationen finden Sie unter Verwenden einer dienstverknüpften Rolle (SLR) mit ACM.

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.