Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création d'autorisations de compte unique pour un utilisateur IAM
Lorsque l'administrateur de l'autorité de certification (c'est-à-dire le propriétaire de l'autorité de certification) et l'émetteur du certificat résident dans un seul AWS compte, la [meilleure pratique consiste](ca-best-practices.md) à séparer les rôles d'émetteur et d'administrateur en créant un utilisateur Gestion des identités et des accès AWS (IAM) doté d'autorisations limitées. Pour plus d'informations sur l'utilisation d'IAM avec Autorité de certification privée AWS, ainsi que des exemples d'autorisations, consultez[Identity and Access Management (IAM) pour AWS Autorité de certification privée](security-iam.md).
**Single-account cas 1 : émission d'un certificat non géré**
Dans ce cas, le propriétaire du compte crée une autorité de certification privée, puis un utilisateur IAM autorisé à émettre des certificats signés par l'autorité de certification privée. L'utilisateur IAM émet un certificat en appelant l' Autorité de certification privée AWS `IssueCertificate`API.
Les certificats émis de cette manière ne sont pas gérés, ce qui signifie qu'un administrateur doit les exporter et les installer sur les appareils sur lesquels ils sont destinés à être utilisés. Ils doivent également être renouvelés manuellement lorsqu'ils expirent. L'émission d'un certificat à l'aide de cette API nécessite une demande de signature de certificat (CSR) et une paire de clés générées en dehors d' Autorité de certification privée AWS [OpenSSL](https://www.openssl.org/) ou d'un programme similaire. Pour plus d'informations, consultez la `IssueCertificate`documentation [https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html).
**Single-account cas 2 : émission d'un certificat géré via ACM**
Ce second cas concerne des opérations d'API provenant à la fois d'ACM et de PCA. Le propriétaire du compte crée un utilisateur CA et IAM privé comme auparavant. Le titulaire du compte [autorise](create-CA.md#PcaCreateAcmPerms) ensuite le principal du service ACM à renouveler automatiquement tous les certificats signés par cette autorité de certification. L'utilisateur IAM émet à nouveau le certificat, mais cette fois en appelant l'`RequestCertificate`API ACM, qui gère la CSR et la génération de clés. Lorsque le certificat expire, ACM automatise le processus de renouvellement.
Le titulaire du compte a la possibilité d'accorder une autorisation de renouvellement via la console de gestion pendant ou après la création de l'autorité de certification ou à l'aide de l'`CreatePermission`API PCA. Les certificats gérés créés à partir de ce flux de travail peuvent être utilisés avec AWS des services intégrés à ACM.
La section suivante décrit les procédures d'octroi des autorisations de renouvellement.
## Attribuer des autorisations de renouvellement de certificat à ACM
Grâce au [renouvellement géré](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) AWS Certificate Manager intégré (ACM), vous pouvez automatiser le processus de renouvellement des certificats publics et privés. Pour qu'ACM renouvelle automatiquement les certificats générés par une autorité de certification privée, le principal du service ACM doit recevoir toutes les autorisations possibles de la part de *l'autorité de certification elle-même*. Si ces autorisations de renouvellement ne sont pas présentes pour ACM, le propriétaire de l'autorité de certification (ou un représentant autorisé) doit réémettre manuellement chaque certificat privé à son expiration.
**Important**
Ces procédures d'attribution des autorisations de renouvellement s'appliquent uniquement lorsque le propriétaire de l'autorité de certification et l'émetteur du certificat résident sur le même AWS compte. Pour les scénarios entre comptes, voir[Joindre une politique d'accès entre comptes](pca-ram.md).
Les autorisations de renouvellement peuvent être déléguées lors de la [création de l'autorité de certification privée](create-CA.md) ou modifiées à tout moment, tant que l'état de l'autorité de certification est `ACTIVE`.
Vous pouvez gérer les autorisations d'une autorité de certification privée à partir de la [console Autorité de certification privée AWS](https://console.aws.amazon.com/acm-pca), de l'[AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/reference/) ou de l'[API Autorité de certification privée AWS](https://docs.aws.amazon.com/privateca/latest/APIReference/) :
**Pour attribuer des autorisations CA privées à ACM (console)**
1. Connectez-vous à votre AWS compte et ouvrez la Autorité de certification privée AWS console à l'adresse [https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home).
1. Sur la **page Autorités de certification privées**, choisissez votre autorité de certification privée dans la liste.
1. Choisissez **Actions, puis** **Configurez les autorisations de l'autorité de certification**.
1. Sélectionnez **Autoriser l'accès à ACM pour renouveler les certificats demandés par ce compte**.
1. Choisissez **Enregistrer**.
**Pour gérer les autorisations ACM dans Autorité de certification privée AWS ()AWS CLI**
Utilisez la commande [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) pour attribuer des autorisations à ACM. Vous devez attribuer les autorisations nécessaires (`IssueCertificate``GetCertificate`, et`ListPermissions`) pour qu'ACM renouvelle automatiquement vos certificats.
```
$ aws acm-pca create-permission \
--certificate-authority-arn arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}} \
--actions {{IssueCertificate}} {{GetCertificate}} {{ListPermissions}} \
--principal acm.amazonaws.com
```
Utilisez la commande [list-permissions](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/list-permissions.html) pour répertorier les autorisations déléguées par une autorité de certification.
```
$ aws acm-pca list-permissions \
--certificate-authority-arn arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}}
```
Utilisez la commande [delete-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-permission.html) pour révoquer les autorisations attribuées par une autorité de certification à un AWS principal de service.
```
$ aws acm-pca delete-permission \
--certificate-authority-arn arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}} \
--principal acm.amazonaws.com
```