Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Certificate Manager menggunakan peran terkait layanan AWS Identity and Access Management (IAM) untuk mengaktifkan perpanjangan otomatis sertifikat pribadi yang dikeluarkan dari CA pribadi untuk akun lain yang dibagikan oleh. AWS Resource Access Manager Service-linked role (SLR) adalah peran IAM yang ditautkan langsung ke layanan ACM. SLRs telah ditentukan sebelumnya oleh ACM dan menyertakan semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
SLR membuat pengaturan ACM lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual untuk penandatanganan sertifikat tanpa pengawasan. ACM mendefinisikan izin SLR-nya, dan kecuali ditentukan lain, hanya ACM yang dapat mengambil peran tersebut. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Untuk informasi tentang layanan lain yang mendukung SLRs, lihat AWS Layanan yang Bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Tertaut Layanan. Pilih Ya dengan tautan untuk melihat dokumentasi SLR untuk layanan itu.
Izin SLR untuk ACM
ACM menggunakan SLR bernama Amazon Certificate Manager Service Role Policy.
AWSServiceRoleForCertificateManager SLR mempercayai layanan berikut untuk mengambil peran:
-
acm.amazonaws.com
Kebijakan izin peran memungkinkan ACM menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
-
Tindakan:
acm-pca:IssueCertificate,acm-pca:GetCertificatepada “*”
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus SLR. Untuk informasi selengkapnya, silakan lihat Izin Peran Tertaut Layanan di Panduan Pengguna IAM.
penting
ACM mungkin mengingatkan Anda bahwa itu tidak dapat menentukan apakah SLR ada di akun Anda. Jika iam:GetRole izin yang diperlukan telah diberikan kepada ACM SLR untuk akun Anda, maka peringatan tidak akan terulang kembali setelah SLR dibuat. Jika berulang, Anda atau administrator akun Anda mungkin perlu memberikan iam:GetRole izin ke ACM, atau mengaitkan akun Anda dengan kebijakan yang dikelola ACM. AWSCertificateManagerFullAccess
Membuat SLR untuk ACM
Anda tidak perlu membuat SLR yang digunakan ACM secara manual. Saat Anda menerbitkan sertifikat ACM menggunakan AWS Management Console, the, atau AWS API AWS CLI, ACM membuat SLR untuk Anda saat pertama kali Anda memiliki CA pribadi untuk akun lain yang dibagikan AWS RAM untuk menandatangani sertifikat Anda.
Jika Anda menemukan pesan yang menyatakan bahwa ACM tidak dapat menentukan apakah SLR ada di akun Anda, itu mungkin berarti bahwa akun Anda belum memberikan izin baca yang diperlukan. AWS Private CA Ini tidak akan mencegah SLR diinstal, dan Anda masih dapat menerbitkan sertifikat, tetapi ACM tidak akan dapat memperbarui sertifikat secara otomatis sampai Anda menyelesaikan masalah. Untuk informasi selengkapnya, lihat Masalah dengan peran terkait layanan ACM (SLR).
penting
SLR ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang didukung oleh peran ini. Juga, jika Anda menggunakan layanan ACM sebelum 1 Januari 2017, ketika mulai mendukung SLRs, maka ACM membuat AWSService RoleForCertificateManager peran di akun Anda. Untuk mempelajari lebih lanjut, lihat Peran Baru yang Muncul di Akun IAM Saya.
Jika Anda menghapus SLR ini, dan kemudian perlu membuatnya lagi, Anda dapat menggunakan salah satu dari metode ini:
-
Di konsol IAM, pilih Peran, Buat peran, Certificate Manager untuk membuat peran baru dengan kasus CertificateManagerServiceRolePolicypenggunaan.
-
Menggunakan API IAM CreateServiceLinkedRoleatau AWS CLI perintah yang sesuai create-service-linked-role, buat SLR dengan nama
acm.amazonaws.com.rproxy.goskope.comlayanan.
Untuk informasi selengkapnya, silakan lihat Membuat Peran Terkait Layanan dalam Panduan Pengguna IAM.
Mengedit SLR untuk ACM
ACM tidak mengizinkan Anda mengedit peran AWSService RoleForCertificateManager terkait layanan. Setelah membuat SLR, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat Mengedit Peran Tertaut Layanan dalam Panduan Pengguna IAM.
Menghapus SLR untuk ACM
Anda biasanya tidak perlu menghapus AWSService RoleForCertificateManager SLR. Namun, Anda dapat menghapus peran secara manual menggunakan konsol IAM, AWS CLI atau AWS API. Untuk informasi selengkapnya, silakan lihat Menghapus Peran Terkait Layanan di Panduan Pengguna IAM.
Wilayah yang Didukung untuk ACM SLRs
ACM mendukung penggunaan SLRs di semua wilayah di mana ACM dan AWS Private CA tersedia. Untuk informasi lebih lanjut, lihat Wilayah dan titik akhir AWS.
| Nama wilayah | Identitas wilayah | Support di ACM |
|---|---|---|
| US East (Northern Virginia) | us-east-1 | Ya |
| US East (Ohio) | us-east-2 | Ya |
| US West (N. California) | us-west-1 | Ya |
| US West (Oregon) | us-west-2 | Ya |
| Asia Pacific (Mumbai) | ap-south-1 | Ya |
| Asia Pacific (Osaka) | ap-northeast-3 | Ya |
| Asia Pacific (Seoul) | ap-northeast-2 | Ya |
| Asia Pacific (Singapore) | ap-southeast-1 | Ya |
| Asia Pacific (Sydney) | ap-southeast-2 | Ya |
| Asia Pacific (Tokyo) | ap-northeast-1 | Ya |
| Canada (Central) | ca-sentral-1 | Ya |
| Eropa (Frankfurt) | eu-central-1 | Ya |
| Eropa (Zürich) | eu-central-2 | Ya |
| Eropa (Irlandia) | eu-west-1 | Ya |
| Eropa (London) | eu-west-2 | Ya |
| Europe (Paris) | eu-west-3 | Ya |
| South America (São Paulo) | sa-east-1 | Ya |
| AWS GovCloud (AS-Barat) | us-gov-west-1 | Ya |
| AWS GovCloud (AS-Timur) Timur | us-gov-east-1 | Ya |
