Contrôler l'accès à l'autorité de certification privée

Tout utilisateur disposant des autorisations nécessaires sur une autorité de certification privée Autorité de certification privée AWS peut utiliser cette autorité de certification pour signer d'autres certificats. Le propriétaire de l'autorité de certification peut délivrer des certificats ou déléguer les autorisations requises pour l'émission de certificats à un utilisateur AWS Identity and Access Management (IAM) résidant dans le même Compte AWSétablissement. Un utilisateur résidant sur un autre AWS compte peut également émettre des certificats s'il est autorisé par le propriétaire de l'autorité de certification par le biais d'une politique basée sur les ressources.

Les utilisateurs autorisés, qu'ils soient titulaires d'un compte unique ou multicompte, peuvent utiliser Autorité de certification privée AWS nos AWS Certificate Manager ressources lorsqu'ils émettent des certificats. Les certificats émis à partir de l' Autorité de certification privée AWS IssueCertificateAPI ou de la commande issue-certificate CLI ne sont pas gérés. Ces certificats nécessitent une installation manuelle sur les appareils cibles et un renouvellement manuel lorsqu'ils expirent. Les certificats émis à partir de la console ACM, de l'RequestCertificateAPI ACM ou de la commande CLI request-certificate sont gérés. Ces certificats peuvent facilement être installés dans les services intégrés à ACM. Si l'administrateur de l'autorité de certification l'autorise et que le compte de l'émetteur dispose d'un rôle lié au service pour ACM, les certificats gérés sont renouvelés automatiquement à leur expiration.