Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisez un rôle lié à un service () SLR avec ACM
AWS Certificate Manager utilise un AWS Identity and Access Management (IAM) rôle lié au service pour permettre le renouvellement automatique des certificats privés émis par une autorité de certification privée pour un autre compte partagé par AWS Resource Access Manager. Un rôle lié à un service (SLR) est un IAM rôle directement lié au ACM service. SLRssont prédéfinis par ACM et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
SLRCela facilite la configuration ACM car vous n'avez pas à ajouter manuellement les autorisations nécessaires pour la signature de certificats sans surveillance. ACMdéfinit ses autorisations etSLR, sauf indication contraire, seul ACM peut assumer le rôle. Les autorisations définies incluent la politique de confiance et la politique d'autorisations, et cette politique d'autorisations ne peut être attachée à aucune autre IAM entité.
Pour plus d'informations sur les autres services qui prennent en chargeSLRs, voir AWS Services qui fonctionnent avec IAM et recherchez les services dont la valeur Oui est indiquée dans la colonne Rôle lié au service. Cliquez sur Oui avec un lien pour consulter la SLR documentation de ce service.
SLRautorisations pour ACM
ACMutilise une politique de rôle de service Amazon Certificate Manager SLR nommée.
Les services de AWSServiceRoleForCertificateManager SLR confiance suivants assumeront ce rôle :
-
acm.amazonaws.com
La politique d'autorisation des rôles ACM permet d'effectuer les actions suivantes sur les ressources spécifiées :
-
Actions :
acm-pca:IssueCertificate,acm-pca:GetCertificatesur "*"
Vous devez configurer les autorisations pour autoriser une IAM entité (telle qu'un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer unSLR. Pour plus d'informations, consultez la section Autorisations relatives aux rôles liés à un service dans le guide de l'IAMutilisateur.
Important
ACMpeut vous avertir qu'il ne peut pas déterminer si un SLR existe sur votre compte. Si l'iam:GetRoleautorisation requise a déjà été accordée ACM SLR à votre compte, l'alerte ne se reproduira pas une fois le SLR compte créé. Si cela se reproduit, vous ou l'administrateur de votre compte devrez peut-être accorder l'iam:GetRoleautorisation ou associer votre compte à ACM la politique ACM gérée. AWSCertificateManagerFullAccess
Création du SLR pour ACM
Vous n'avez pas besoin de créer manuellement le SLR qui ACM utilise. Lorsque vous émettez un ACM certificat à l'aide du AWS Management Console, le AWS CLI, ou le AWS API, ACM crée SLR pour vous la première fois que vous êtes une autorité de certification privée pour un autre compte partagé par AWS RAM pour signer votre certificat.
Si vous recevez des messages indiquant que vous ACM ne pouvez pas déterminer s'il SLR existe une autorisation de lecture sur votre compte, cela peut signifier que votre compte n'a pas accordé d'autorisation de lecture Autorité de certification privée AWS nécessite. Cela n'empêchera pas leur installation, et vous pouvez toujours émettre des certificats, mais vous ne ACM pourrez pas les renouveler automatiquement tant que le problème n'aura pas été résolu. SLR Pour de plus amples informations, veuillez consulter Problèmes liés au rôle ACM lié au service () SLR.
Important
Cela SLR peut apparaître dans votre compte si vous avez effectué une action dans un autre service utilisant les fonctionnalités prises en charge par ce rôle. De plus, si vous utilisiez le ACM service avant le 1er janvier 2017, date à laquelle il a commencé à être pris en chargeSLRs, vous avez ACM créé le AWSServiceRoleForCertificateManager rôle dans votre compte. Pour en savoir plus, consultez l'article Un nouveau rôle est apparu dans Mon IAM compte.
Si vous le supprimezSLR, puis que vous devez le créer à nouveau, vous pouvez utiliser l'une des méthodes suivantes :
-
Dans la IAM console, choisissez Role, Create role, Certificate Manager pour créer un nouveau rôle avec le cas CertificateManagerServiceRolePolicyd'utilisation.
-
En utilisant le IAM API CreateServiceLinkedRoleou le correspondant AWS CLI commande create-service-linked-role, créez un SLR avec le nom du
acm.amazonaws.com.rproxy.goskope.comservice.
Pour plus d'informations, consultez la section Création d'un rôle lié à un service dans le guide de l'IAMutilisateur.
Modifier le SLR formulaire ACM
ACMne vous permet pas de modifier le rôle AWSServiceRoleForCertificateManager lié au service. Une fois que vous avez créé unSLR, vous ne pouvez pas modifier le nom du rôle car différentes entités peuvent y faire référence. Vous pouvez toutefois modifier la description du rôle à l'aide deIAM. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le guide de l'IAMutilisateur.
Supprimer le SLR pour ACM
Il n'est généralement pas nécessaire de supprimer le AWSServiceRoleForCertificateManager SLR. Toutefois, vous pouvez supprimer le rôle manuellement à l'aide de la IAM console, AWS CLI ou le AWS API. Pour plus d'informations, consultez la section Suppression d'un rôle lié à un service dans le guide de l'IAMutilisateur.
Régions prises en charge pour ACM SLRs
ACMprend SLRs en charge l'utilisation dans toutes ACM les régions où Autorité de certification privée AWS sont disponibles. Pour plus d’informations, consultez .AWS Régions et points de terminaison.
| Nom de la région | Identité de la région | Support dans ACM |
|---|---|---|
| US East (Virginie du Nord) | us-east-1 | Oui |
| USA Est (Ohio) | us-east-2 | Oui |
| USA Ouest (Californie du Nord) | us-west-1 | Oui |
| USA Ouest (Oregon) | us-west-2 | Oui |
| Asie-Pacifique (Mumbai) | ap-south-1 | Oui |
| Asie-Pacifique (Osaka) | ap-northeast-3 | Oui |
| Asie-Pacifique (Séoul) | ap-northeast-2 | Oui |
| Asie-Pacifique (Singapour) | ap-southeast-1 | Oui |
| Asie-Pacifique (Sydney) | ap-southeast-2 | Oui |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Oui |
| Canada (Centre) | ca-central-1 | Oui |
| Europe (Francfort) | eu-central-1 | Oui |
| Europe (Zurich) | eu-central-2 | Oui |
| Europe (Irlande) | eu-west-1 | Oui |
| Europe (Londres) | eu-west-2 | Oui |
| Europe (Paris) | eu-west-3 | Oui |
| Amérique du Sud (São Paulo) | sa-east-1 | Oui |
| AWS GovCloud (US-Ouest) | us-gov-west-1 | Oui |
| AWS GovCloud (USA Est) Est | us-gov-east-1 | Oui |
