Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Puede utilizarlos Autoridad de certificación privada de AWS para firmar sus certificados ACM en cualquiera de estos dos casos:
-
Cuenta única: la CA firmante y el certificado AWS Certificate Manager (ACM) emitido residen en la misma AWS cuenta.
Para permitir la emisión y las renovaciones de una única cuenta, el administrador de Autoridad de certificación privada de AWS debe conceder permiso a la entidad principal del servicio de ACM para crear, recuperar y enumerar certificados. Esto se hace mediante la acción de la Autoridad de certificación privada de AWS API CreatePermissiono el AWS CLI comando create-permission. El propietario de la cuenta asigna estos permisos a un usuario, grupo o rol de IAM responsable de emitir certificados.
-
Cuenta cruzada: la CA firmante y el certificado ACM que se emite residen en AWS cuentas diferentes, y el acceso a la CA se ha concedido a la cuenta en la que reside el certificado.
Para permitir la emisión y renovación entre cuentas, el Autoridad de certificación privada de AWS administrador debe adjuntar a la CA una política basada en recursos mediante la acción de la Autoridad de certificación privada de AWS API o el comando put-policy. PutPolicyAWS CLI La política especifica las entidades principales de otras cuentas a las que se permite el acceso limitado a la CA. Para obtener más información, consulte Utilización de una política con base en recursos con ACM Private CA.
El escenario entre cuentas también requiere que ACM configure un rol vinculado a servicios (SLR) para interactuar como entidad principal con la política de PCA. ACM crea el SLR automáticamente mientras emite el primer certificado.
ACM podría avisarle que no puede determinar si existe un SLR en su cuenta. Si ya se ha concedido el permiso
iam:GetRolenecesario al SLR de ACM para su cuenta, el aviso no se repetirá después de crearse el SLR. Si se repite, es posible que usted o el administrador de su cuenta tengan que conceder el permisoiam:GetRolea ACM o asociar la cuenta a la políticaAWSCertificateManagerFullAccessadministrada por ACM.Para obtener más información, consulte Utilización de un rol vinculado a servicios con ACM.
importante
Su certificado ACM debe estar asociado activamente a un AWS servicio compatible para que pueda renovarse automáticamente. Para obtener información sobre los recursos que admite ACM, consulte Servicios integrados con ACM.
