Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Membuat izin akun tunggal untuk pengguna IAM
Ketika administrator CA (yaitu, pemilik CA) dan penerbit sertifikat berada dalam satu AWS akun, [praktik terbaik](ca-best-practices.md) adalah memisahkan peran penerbit dan administrator dengan membuat pengguna AWS Identity and Access Management (IAM) dengan izin terbatas. Untuk informasi tentang menggunakan IAM dengan AWS Private CA, bersama dengan izin contoh, lihat. [Identity and Access Management (IAM) AWS Private Certificate Authority](security-iam.md)
**Single-account kasus 1: Menerbitkan sertifikat yang tidak dikelola**
Dalam hal ini, pemilik akun membuat CA pribadi dan kemudian membuat pengguna IAM dengan izin untuk mengeluarkan sertifikat yang ditandatangani oleh CA pribadi. Pengguna IAM mengeluarkan sertifikat dengan memanggil AWS Private CA `IssueCertificate` API.
Sertifikat yang diterbitkan dengan cara ini tidak dikelola, yang berarti bahwa administrator harus mengekspornya dan menginstalnya di perangkat yang akan digunakan. Sertifikat tersebut juga harus diperbarui secara manual saat kedaluwarsa. Menerbitkan sertifikat menggunakan API ini memerlukan permintaan penandatanganan sertifikat (CSR) dan key pair yang dihasilkan di luar oleh AWS Private CA OpenSSL atau program [serupa](https://www.openssl.org/). Untuk informasi selengkapnya, lihat `IssueCertificate`dokumentasi [https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html).
**Single-account kasus 2: Menerbitkan sertifikat terkelola melalui ACM**
Kasus kedua ini melibatkan operasi API dari ACM dan PCA. Pemilik akun membuat pengguna CA dan IAM pribadi seperti sebelumnya. Pemilik akun kemudian [memberikan izin](create-CA.md#PcaCreateAcmPerms) kepada kepala layanan ACM untuk memperbarui secara otomatis sertifikat apa pun yang ditandatangani oleh CA ini. Pengguna IAM kembali mengeluarkan sertifikat, tetapi kali ini dengan memanggil ACM `RequestCertificate` API, yang menangani CSR dan pembuatan kunci. Ketika sertifikat kedaluwarsa, ACM mengotomatiskan alur kerja perpanjangan.
Pemilik akun memiliki opsi untuk memberikan izin perpanjangan melalui konsol manajemen selama atau setelah pembuatan CA atau menggunakan `CreatePermission` PCA API. Sertifikat terkelola yang dibuat dari alur kerja ini tersedia untuk digunakan dengan AWS layanan yang terintegrasi dengan ACM.
Bagian berikut berisi prosedur untuk memberikan izin perpanjangan.
## Menetapkan izin perpanjangan sertifikat untuk ACM
Dengan [perpanjangan terkelola](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) di AWS Certificate Manager (ACM), Anda dapat mengotomatiskan proses perpanjangan sertifikat untuk sertifikat publik dan swasta. Agar ACM secara otomatis memperbarui sertifikat yang dihasilkan oleh CA privat, entitas keamanan layanan ACM harus diberikan semua kemungkinan izin *oleh CA itu sendiri*. Jika izin perpanjangan ini tidak tersedia untuk ACM, pemilik CA (atau perwakilan yang sah) harus menerbitkan ulang secara manual setiap sertifikat privat saat kedaluwarsa.
**penting**
Prosedur untuk menetapkan izin perpanjangan ini hanya berlaku ketika pemilik CA dan penerbit sertifikat berada di akun yang sama. AWS Untuk skenario lintas akun, lihat [Lampirkan kebijakan untuk akses lintas akun](pca-ram.md).
Izin perpanjangan dapat didelegasikan selama [pembuatan CA privat](create-CA.md) atau diubah kapan saja setelah selama CA berada di negara bagian `ACTIVE`.
Anda dapat mengelola izin CA pribadi dari [AWS Private CA Konsol](https://console.aws.amazon.com/acm-pca), [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/reference/), atau [AWS Private CA API](https://docs.aws.amazon.com/privateca/latest/APIReference/):
**Untuk menetapkan izin CA privat untuk ACM (konsol)**
1. Masuk ke AWS akun Anda dan buka AWS Private CA konsol di [https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home).
1. Pada **halaman Otoritas sertifikat pribadi**, pilih CA pribadi Anda dari daftar.
1. Pilih **Tindakan**, **Konfigurasikan izin CA**.
1. Pilih **Otorisasi akses ACM untuk memperbarui sertifikat yang diminta oleh** akun ini.
1. Pilih **Simpan**.
**Untuk mengelola izin ACM di AWS Private CA ()AWS CLI**
Gunakan perintah [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) untuk menentapkan izin ke ACM. Anda harus menetapkan izin yang diperlukan (`IssueCertificate`, `GetCertificate`, dan `ListPermissions`) agar ACM otomatis memperpanjang sertifikat Anda.
```
$ aws acm-pca create-permission \
--certificate-authority-arn arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}} \
--actions {{IssueCertificate}} {{GetCertificate}} {{ListPermissions}} \
--principal acm.amazonaws.com
```
Gunakan perintah [list-permissions](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/list-permissions.html) untuk membuat daftar izin yang didelegasikan oleh CA.
```
$ aws acm-pca list-permissions \
--certificate-authority-arn arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}}
```
Gunakan perintah [delete-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-permission.html) untuk mencabut izin yang ditetapkan oleh CA ke kepala layanan. AWS
```
$ aws acm-pca delete-permission \
--certificate-authority-arn arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}} \
--principal acm.amazonaws.com
```