Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vous pouvez les utiliser Autorité de certification privée AWS pour signer vos certificats ACM dans l'un des deux cas suivants :
-
Compte unique : l'autorité de certification signataire et le certificat AWS Certificate Manager (ACM) émis résident dans le même AWS compte.
Pour que l'émission et les renouvellements liés à compte unique soient activés, l'administrateur de Autorité de certification privée AWS doit autoriser le principal du service ACM a créer, récupérer et répertorier les certificats. Cela se fait à l'aide de l'action Autorité de certification privée AWS API CreatePermissionou de la AWS CLI commande create-permission. Le propriétaire du compte attribue ces autorisations à un utilisateur IAM, un groupe d'utilisateurs IAM ou un rôle IAM responsable de l'émission des certificats.
-
Comptes multiples : l'autorité de certification signataire et le certificat ACM émis résident dans des AWS comptes différents, et l'accès à l'autorité de certification a été accordé au compte sur lequel réside le certificat.
Pour activer l'émission et les renouvellements entre comptes, l' Autorité de certification privée AWS administrateur doit associer une politique basée sur les ressources à l'autorité de certification à l'aide de l'action Autorité de certification privée AWS API PutPolicyou de la commande put-policy. AWS CLI La stratégie précise les principaux des autres comptes qui ont un accès limité à l'autorité de certification. Pour plus d'informations, consultez Utilisation d'une stratégie basée sur les ressources avec ACM Private CA.
Le scénario Comptes multiples exige également qu'ACM mette en place un rôle lié à un service (SLR) pour interagir en tant que principal avec la stratégie PCA. ACM crée automatiquement le rôle SLR lors de l'émission du premier certificat.
ACM peut vous avertir qu'il ne peut pas déterminer si un rôle SLR existe sur votre compte. Si l'autorisation
iam:GetRolerequise a déjà été accordée au rôle SLR ACM pour votre compte, l'alerte ne se reproduira pas après la création du rôle SLR. Si elle se reproduit, vous ou votre administrateur de compte devrez peut-être accorder l'autorisationiam:GetRoleà ACM, ou associer votre compte à la stratégieAWSCertificateManagerFullAccessgérée par ACM.Pour plus d'informations, consultez Utilisation d'un rôle lié à un service avec ACM.
Important
Votre certificat ACM doit être activement associé à un AWS service pris en charge avant de pouvoir être automatiquement renouvelé. Pour en savoir plus sur les ressources prises en charge par ACM, consultez Services intégrés à ACM.
