Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan peran terkait layanan () SLR dengan ACM
AWS Certificate Manager menggunakan AWS Identity and Access Management (IAM) peran terkait layanan untuk mengaktifkan perpanjangan otomatis sertifikat pribadi yang dikeluarkan dari CA pribadi untuk akun lain yang dibagikan oleh AWS Resource Access Manager. Peran terkait layanan (SLR) adalah IAM peran yang ditautkan langsung ke layanan. ACM SLRstelah ditentukan sebelumnya oleh ACM dan menyertakan semua izin yang diperlukan layanan untuk memanggil lainnya AWS layanan atas nama Anda.
SLRIni membuat pengaturan ACM lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual untuk penandatanganan sertifikat tanpa pengawasan. ACMmendefinisikan izinnyaSLR, dan kecuali ditentukan lain, hanya ACM dapat mengambil peran. Izin yang ditetapkan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas lain mana pun. IAM
Untuk informasi tentang layanan lain yang mendukungSLRs, lihat AWS Layanan yang Bekerja dengan IAM dan mencari layanan yang memiliki Ya di kolom Peran Tertaut Layanan. Pilih Ya dengan tautan untuk melihat SLR dokumentasi untuk layanan itu.
SLRizin untuk ACM
ACMmenggunakan Kebijakan Peran Layanan Amazon Certificate Manager SLR bernama.
AWSServiceRoleForCertificateManager SLRPercayakan layanan berikut untuk mengambil peran:
-
acm.amazonaws.com
Kebijakan izin peran memungkinkan ACM untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
-
Tindakan:
acm-pca:IssueCertificate,acm-pca:GetCertificatepada “*”
Anda harus mengonfigurasi izin untuk mengizinkan IAM entitas (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus. SLR Untuk informasi selengkapnya, lihat Izin Peran Tertaut Layanan di Panduan Pengguna. IAM
penting
ACMMungkin mengingatkan Anda bahwa itu tidak dapat menentukan apakah SLR ada di akun Anda. Jika iam:GetRole izin yang diperlukan telah diberikan kepada akun Anda, maka peringatan tidak akan terulang kembali setelah SLR dibuat. ACM SLR Jika terulang kembali, Anda atau administrator akun Anda mungkin perlu memberikan iam:GetRole izinACM, atau mengaitkan akun Anda dengan kebijakan ACM -managed. AWSCertificateManagerFullAccess
Menciptakan SLR untuk ACM
Anda tidak perlu membuat SLR yang ACM menggunakan secara manual. Saat Anda mengeluarkan ACM sertifikat menggunakan AWS Management Console, AWS CLI, atau AWS API, ACM membuat SLR untuk Anda pertama kalinya bahwa Anda CA pribadi untuk akun lain yang dibagikan oleh AWS RAM untuk menandatangani sertifikat Anda.
Jika Anda menemukan pesan yang menyatakan bahwa ACM tidak dapat menentukan apakah SLR ada di akun Anda, itu mungkin berarti bahwa akun Anda belum memberikan izin baca AWS Private CA membutuhkan. Ini tidak akan mencegah agar tidak diinstal, dan Anda masih dapat menerbitkan sertifikat, tetapi tidak ACM akan dapat memperbarui sertifikat secara otomatis sampai Anda menyelesaikan masalah. SLR Untuk informasi selengkapnya, lihat Masalah dengan peran ACM terkait layanan () SLR.
penting
Ini SLR dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang didukung oleh peran ini. Juga, jika Anda menggunakan ACM layanan sebelum 1 Januari 2017, ketika mulai mendukungSLRs, maka ACM buat AWSServiceRoleForCertificateManager peran di akun Anda. Untuk mempelajari lebih lanjut, lihat Peran Baru Muncul di IAM Akun Saya.
Jika Anda menghapus iniSLR, dan kemudian perlu membuatnya lagi, Anda dapat menggunakan salah satu dari metode ini:
-
Di IAM konsol, pilih Peran, Buat peran, Certificate Manager untuk membuat peran baru dengan kasus CertificateManagerServiceRolePolicypenggunaan.
-
Menggunakan IAM API CreateServiceLinkedRoleatau yang sesuai AWS CLI perintah create-service-linked-role, buat SLR dengan nama
acm.amazonaws.com.rproxy.goskope.comlayanan.
Untuk informasi selengkapnya, lihat Membuat Peran Tertaut Layanan di IAMPanduan Pengguna.
Mengedit SLR untuk ACM
ACMtidak memungkinkan Anda untuk mengedit peran AWSServiceRoleForCertificateManager terkait layanan. Setelah membuatSLR, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit deskripsi peran menggunakanIAM. Untuk informasi selengkapnya, lihat Mengedit Peran Tertaut Layanan di IAMPanduan Pengguna.
Menghapus untuk SLR ACM
Anda biasanya tidak perlu menghapus file AWSServiceRoleForCertificateManager SLR. Namun, Anda dapat menghapus peran secara manual menggunakan IAM konsol, AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat Menghapus Peran Tertaut Layanan di Panduan Pengguna. IAM
Wilayah yang Didukung untuk ACM SLRs
ACMmendukung penggunaan SLRs di semua wilayah di mana keduanya ACM dan AWS Private CA tersedia. Untuk informasi selengkapnya, silakan lihat AWS Wilayah dan Titik Akhir.
| Nama Wilayah | Identitas wilayah | Support di ACM |
|---|---|---|
| US East (Northern Virginia) | us-east-1 | Ya |
| US East (Ohio) | us-east-2 | Ya |
| US West (N. California) | us-west-1 | Ya |
| US West (Oregon) | us-west-2 | Ya |
| Asia Pacific (Mumbai) | ap-south-1 | Ya |
| Asia Pacific (Osaka) | ap-northeast-3 | Ya |
| Asia Pacific (Seoul) | ap-northeast-2 | Ya |
| Asia Pacific (Singapore) | ap-southeast-1 | Ya |
| Asia Pacific (Sydney) | ap-southeast-2 | Ya |
| Asia Pacific (Tokyo) | ap-northeast-1 | Ya |
| Canada (Central) | ca-sentral-1 | Ya |
| Eropa (Frankfurt) | eu-central-1 | Ya |
| Eropa (Zürich) | eu-central-2 | Ya |
| Eropa (Irlandia) | eu-west-1 | Ya |
| Eropa (London) | eu-west-2 | Ya |
| Europe (Paris) | eu-west-3 | Ya |
| South America (São Paulo) | sa-east-1 | Ya |
| AWS GovCloud (AS-Barat) | us-gov-west-1 | Ya |
| AWS GovCloud (AS-Timur) Timur | us-gov-east-1 | Ya |
