Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de un rol vinculado a servicios (SLR) con ACM

AWS Certificate Manager utiliza un rol vinculado a servicio de AWS Identity and Access Management (IAM) para permitir las renovaciones automáticas de certificados privados emitidos desde una CA privada para otra cuenta compartida por AWS Resource Access Manager. Un rol vinculado a servicios (SLR) es un rol de IAM que se encuentra vinculado directamente a un servicio de ACM. ACM ha predefinido los SLR y estos incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

El SLR simplifica la configuración de ACM y usted ya no tendrá que agregar de forma manual los permisos necesarios para la firma de certificados sin supervisión. ACM define los permisos de este SLR y, a menos que se defina de otro modo, solo ACM puede asumir el rol. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Para obtener información sobre otros servicios que admiten SLR, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service Linked Role (Rol vinculado a servicios). Elija la opción Yes (Sí) con un enlace para ver la documentación de SLR para ese servicio.

Permisos de SLR para ACM

ACM utiliza un SLR denominado política de rol de servicio de Amazon Certificate Manager.

El SLR AWSServiceRoleForCertificateManager confía en que los siguientes servicios asuman el rol:

La política de permisos del rol permite que ACM realice las siguientes acciones en los recursos especificados:

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un SLR. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación del SLR para ACM

No será necesario crear de forma manual el SLR que utiliza ACM. Cuando se emite un certificado de ACM mediante la AWS Management Console, la AWS CLI o la API de AWS, ACM crea el SLR en su nombre la primera vez que se selecciona una CA privada para otra cuenta compartida por AWS RAM para firmar el certificado.

Si aparecen mensajes que indican que ACM no puede determinar si existe un SLR en la cuenta, es posible que signifique que la cuenta no ha concedido un permiso de lectura que Autoridad de certificación privada de AWS requiere. Esto no impedirá instalar el SLR y aún podrá emitir certificados, pero ACM no podrá renovar los certificados de forma automática hasta que resuelva el problema. Para obtener más información, consulte Problemas con el rol vinculado a servicios (SLR) de ACM.

Si elimina este SLR y necesita crearlo de nuevo, utilice cualquiera de los siguientes métodos:

Para obtener más información, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM.

Edición del SLR para ACM

ACM no permite editar el rol AWSServiceRoleForCertificateManager vinculado a servicios. Después de crear un SLR, no puede cambiar el nombre porque varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación del SLR para ACM

Por lo general, no es necesario que elimine el SLR AWSServiceRoleForCertificateManager. Sin embargo, puede eliminarlo de forma manual mediante la consola de IAM, la AWS CLI o la API de AWS. Para más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones compatibles con los SLR de ACM

ACM admite el uso de SLR en todas las regiones donde estén disponibles tanto ACM como Autoridad de certificación privada de AWS. Para obtener más información, consulte Puntos de conexión y regiones de AWS.