Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Puoi utilizzarli CA privata AWS per firmare i tuoi certificati ACM in uno dei due casi seguenti:
-
Account singolo: la CA che firma e il certificato AWS Certificate Manager (ACM) emesso risiedono nello stesso account. AWS
Per abilitare l'emissione e i rinnovi di account singoli, l'amministratore di CA privata AWS deve concedere l'autorizzazione al principale del servizio ACM per creare, recuperare ed elencare i certificati. Questa operazione viene eseguita utilizzando l'azione CA privata AWS API CreatePermissiono il AWS CLI comando create-permission. Il proprietario dell'account assegna queste autorizzazioni a un utente, gruppo o ruolo IAM responsabile del rilascio dei certificati.
-
Cross-account: la CA che firma e il certificato ACM emesso risiedono in AWS account diversi e l'accesso alla CA è stato concesso all'account in cui risiede il certificato.
Per consentire l'emissione e il rinnovo tra più account, l' CA privata AWS amministratore deve allegare alla CA una policy basata sulle risorse utilizzando l'azione API o il comando put-policy. CA privata AWSPutPolicyAWS CLI La policy specifica le entità principali degli altri account a cui è consentito l'accesso limitato alla CA. Per ulteriori informazioni, consulta Utilizzo di una policy basata sulle risorse con ACM Private CA.
Lo scenario tra più account richiede inoltre che ACM configuri un ruolo collegato ai servizi (SLR) per interagire come entità principale con la policy PCA. ACM crea automaticamente il SLR durante il rilascio del primo certificato.
ACM potrebbe avvisarti che non è in grado di determinare se esiste un SLR sul tuo account. Se l'autorizzazione
iam:GetRolerichiesta è già stata concessa ad ACM SLR per il tuo account, l'avviso non si ripeterà dopo la creazione del SLR. In caso di ripetizione, l'utente o l'amministratore dell'account potrebbe essere necessario concedere l'autorizzazioneiam:GetRolead ACM o associare il proprio account con ilAWSCertificateManagerFullAccessdella policy gestito da ACM.Per ulteriori informazioni consulta Utilizzo di un ruolo collegato ai servizi con ACM.
Importante
Il certificato ACM deve essere associato attivamente a un servizio supportato prima di poter essere rinnovato automaticamente. AWS Per ulteriori informazioni sulle risorse supportate da ACM, consultare Servizi integrati con ACM.
