Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Usa un ruolo collegato al servizio () SLR con ACM
AWS Certificate Manager utilizza un AWS Identity and Access Management (IAM) ruolo collegato al servizio per abilitare il rinnovo automatico dei certificati privati emessi da una CA privata per un altro account condiviso da AWS Resource Access Manager. Un ruolo collegato al servizio (SLR) è un IAM ruolo collegato direttamente al ACM servizio. SLRssono predefiniti da ACM e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.
SLRACMSemplifica la configurazione perché non è necessario aggiungere manualmente le autorizzazioni necessarie per la firma automatica dei certificati. ACMdefinisce le sue autorizzazioni eSLR, se non diversamente definito, solo ACM può assumere il ruolo. Le autorizzazioni definite includono la politica di fiducia e la politica di autorizzazione e tale politica di autorizzazione non può essere associata a nessun'altra entità. IAM
Per informazioni sugli altri servizi che supportano, vedere SLRs AWS Servizi compatibili IAM e cerca i servizi con Sì nella colonna Service-Linked Role. Scegli un Sì con un link per visualizzare la SLR documentazione relativa a quel servizio.
SLRautorizzazioni per ACM
ACMutilizza una politica SLR denominata Amazon Certificate Manager Service Role.
AWSServiceRoleForCertificateManager SLRAffida il ruolo ai seguenti servizi:
-
acm.amazonaws.com
La politica di autorizzazione dei ruoli consente di ACM completare le seguenti azioni sulle risorse specificate:
-
Operazioni:
acm-pca:IssueCertificate,acm-pca:GetCertificatesu "*"
È necessario configurare le autorizzazioni per consentire a un'IAMentità (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un. SLR Per ulteriori informazioni, consulta la sezione Autorizzazioni relative ai ruoli collegati ai servizi nella Guida per l'utente. IAM
Importante
ACMpotrebbe avvisarti che non è in grado di determinare se SLR esiste un account. Se l'iam:GetRoleautorizzazione richiesta è già stata concessa al ACM SLR tuo account, l'avviso non si ripeterà dopo la SLR creazione. Se l'errore si ripresenta, tu o l'amministratore del tuo account potreste dover concedere l'iam:GetRoleautorizzazione o associare il vostro account alla ACM politica gestitaACM. AWSCertificateManagerFullAccess
Creazione del modulo SLR ACM
Non è necessario creare manualmente il file SLR che ACM utilizza. Quando si emette un ACM certificato utilizzando il AWS Management Console, il AWS CLI, o AWS API, ACM crea SLR per te la prima volta che utilizzi una CA privata per un altro account condiviso da AWS RAM per firmare il tuo certificato.
Se ricevi messaggi che indicano che non ACM riesci a determinare se SLR esiste un account sul tuo account, è possibile che il tuo account non abbia concesso un'autorizzazione di lettura CA privata AWS richiede. Ciò non impedirà l'SLRinstallazione e potrai comunque emettere certificati, ma non ACM potrai rinnovarli automaticamente finché non risolverai il problema. Per ulteriori informazioni, consulta Problemi con il ruolo collegato al ACM servizio () SLR.
Importante
Questo SLR può apparire nel tuo account se hai completato un'azione in un altro servizio che utilizza le funzionalità supportate da questo ruolo. Inoltre, se utilizzavi il ACM servizio prima del 1° gennaio 2017, quando ha iniziato a supportareSLRs, hai ACM creato il AWSServiceRoleForCertificateManager ruolo nel tuo account. Per ulteriori informazioni, vedi Un nuovo ruolo è apparso nel mio IAM account.
Se lo SLR elimini e poi devi crearlo di nuovo, puoi utilizzare uno di questi metodi:
-
Nella IAM console, scegli Ruolo, Crea ruolo, Certificate Manager per creare un nuovo ruolo con lo CertificateManagerServiceRolePolicyuse case.
-
Utilizzando il IAM API CreateServiceLinkedRoleo il corrispondente AWS CLI comando create-service-linked-role, crea un file SLR con il nome del
acm.amazonaws.com.rproxy.goskope.comservizio.
Per ulteriori informazioni, vedere Creazione di un ruolo collegato ai servizi nella Guida per l'IAMutente.
Modifica del modulo SLR ACM
ACMnon consente di modificare il ruolo AWSServiceRoleForCertificateManager collegato al servizio. Dopo aver creato un ruoloSLR, non è possibile modificare il nome del ruolo perché diverse entità potrebbero fare riferimento al ruolo. Tuttavia, è possibile modificare la descrizione del ruolo utilizzandoIAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'IAMutente.
Eliminazione del modulo SLR ACM
In genere non è necessario eliminare il AWSServiceRoleForCertificateManager SLR. Tuttavia, è possibile eliminare il ruolo manualmente utilizzando la IAM console, AWS CLI o AWS API. Per ulteriori informazioni, vedere Eliminazione di un ruolo collegato ai servizi nella Guida per l'IAMutente.
Regioni supportate per ACM SLRs
ACMsupporta l'utilizzo SLRs in tutte le regioni in cui ACM sia CA privata AWS sono disponibili. Per ulteriori informazioni, consulta AWS Regioni ed endpoint.
| Nome Regione | Identità della regione | Support in ACM |
|---|---|---|
| US East (N. Virginia) | us-east-1 | Sì |
| Stati Uniti orientali (Ohio) | us-east-2 | Sì |
| US West (N. California) | us-west-1 | Sì |
| US West (Oregon) | us-west-2 | Sì |
| Asia Pacific (Mumbai) | ap-south-1 | Sì |
| Asia Pacifico (Osaka-Locale) | ap-northeast-3 | Sì |
| Asia Pacifico (Seul) | ap-northeast-2 | Sì |
| Asia Pacifico (Singapore) | ap-southeast-1 | Sì |
| Asia Pacifico (Sydney) | ap-southeast-2 | Sì |
| Asia Pacifico (Tokyo) | ap-northeast-1 | Sì |
| Canada (Central) | ca-central-1 | Sì |
| Europe (Frankfurt) | eu-central-1 | Sì |
| Europa (Zurigo) | eu-central-2 | Sì |
| Europa (Irlanda) | eu-west-1 | Sì |
| Europe (London) | eu-west-2 | Sì |
| Europe (Paris) | eu-west-3 | Sì |
| Sud America (São Paulo) | sa-east-1 | Sì |
| AWS GovCloud (Stati Uniti occidentali) | us-gov-west-1 | Sì |
| AWS GovCloud (Stati Uniti orientali) Est | us-gov-east-1 | Sì |
