Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Crea autorizzazioni per account singolo per un utente IAM
<a name="assign-permissions"></a>

Quando l'amministratore della CA (ovvero il proprietario della CA) e l'emittente del certificato risiedono in un unico AWS account, è [consigliabile](ca-best-practices.md) separare i ruoli di emittente e amministratore creando un utente AWS Identity and Access Management (IAM) con autorizzazioni limitate. Per informazioni sull'utilizzo di IAM con CA privata AWS, oltre ad esempi di autorizzazioni, consulta. [Identity and Access Management (IAM) per AWS Autorità di certificazione privata](security-iam.md)

**Caso 1 con account singolo: emissione di un certificato non gestito**  
In questo caso, il proprietario dell'account crea una CA privata e quindi crea un utente IAM con l'autorizzazione a emettere certificati firmati dalla CA privata. L'utente IAM emette un certificato chiamando l' CA privata AWS `IssueCertificate`API.

![\[Emissione di un certificato non gestito\]](http://docs.aws.amazon.com/it_it/privateca/latest/userguide/images/ca_access_1_account_pca_api.png)


I certificati emessi in questo modo non sono gestiti, il che significa che un amministratore deve esportarli e installarli sui dispositivi in cui sono destinati a essere utilizzati. Inoltre, devono essere rinnovati manualmente quando scadono. L'emissione di un certificato utilizzando questa API richiede una richiesta di firma del certificato (CSR) e una coppia di chiavi generati all'esterno da CA privata AWS [OpenSSL](https://www.openssl.org/) o da un programma simile. [Per ulteriori informazioni, consulta la documentazione. `IssueCertificate`](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)

**Caso 2 con account singolo: emissione di un certificato gestito tramite ACM**  
Questo secondo caso riguarda le operazioni API di ACM e PCA. Il proprietario dell'account crea un utente CA e IAM privato come in precedenza. Il proprietario dell'account [concede quindi l'autorizzazione](create-CA.md#PcaCreateAcmPerms) al responsabile del servizio ACM per rinnovare automaticamente tutti i certificati firmati da questa CA. L'utente IAM emette nuovamente il certificato, ma questa volta chiamando l'`RequestCertificate`API ACM, che gestisce la CSR e la generazione delle chiavi. Quando il certificato scade, ACM automatizza il flusso di lavoro per il rinnovo.

![\[Emissione di un certificato gestito\]](http://docs.aws.amazon.com/it_it/privateca/latest/userguide/images/ca_access_1_account_acm_api.png)


Il proprietario dell'account ha la possibilità di concedere l'autorizzazione al rinnovo tramite la console di gestione durante o dopo la creazione della CA o utilizzando l'API `CreatePermission` PCA. I certificati gestiti creati da questo flusso di lavoro possono essere utilizzati con AWS servizi integrati con ACM.

La sezione seguente contiene le procedure per la concessione delle autorizzazioni di rinnovo.

## Assegna le autorizzazioni per il rinnovo dei certificati ad ACM
<a name="PcaPermissions"></a>

Con [Managed Renewal](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) in AWS Certificate Manager (ACM), puoi automatizzare il processo di rinnovo dei certificati sia per i certificati pubblici che per quelli privati. *Affinché ACM possa rinnovare automaticamente i certificati generati da una CA privata, al responsabile del servizio ACM devono essere concesse tutte le autorizzazioni possibili dalla CA stessa.* Se queste autorizzazioni di rinnovo non sono presenti per ACM, il proprietario della CA (o un rappresentante autorizzato) deve riemettere manualmente ogni certificato privato alla scadenza.

**Importante**  
Queste procedure per l'assegnazione delle autorizzazioni di rinnovo si applicano solo quando il proprietario della CA e l'emittente del certificato risiedono nello stesso account. AWS Per scenari che coinvolgono più account, consulta. [Allega una politica per l'accesso tra account diversi](pca-ram.md)

Le autorizzazioni di rinnovo possono essere delegate durante la [creazione di CA privata](create-CA.md) o modificate in qualsiasi momento dopo tutto il tempo in cui la CA si trova nello stato `ACTIVE`.

Puoi gestire le autorizzazioni CA private dalla [Console CA privata AWS](https://console.aws.amazon.com/acm-pca), dall'[AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/reference/), o dall'[API CA privata AWS](https://docs.aws.amazon.com/privateca/latest/APIReference/):

**Per assegnare autorizzazioni CA private ad ACM (console)**

1. [Accedi al tuo AWS account e apri la CA privata AWS console a casa. https://console.aws.amazon.com/acm-pca/](https://console.aws.amazon.com/acm-pca/home)

1. Nella **pagina Autorità di certificazione private**, scegli la tua CA privata dall'elenco.

1. Scegli **Azioni**, **Configura le autorizzazioni CA**.

1. Seleziona **Autorizza l'accesso ACM per rinnovare i certificati richiesti** da questo account.

1. Scegli **Save** (Salva).

**Per gestire le autorizzazioni ACM in () CA privata AWS AWS CLI**  
Utilizzate il comando [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) per assegnare le autorizzazioni ad ACM. È necessario assegnare le autorizzazioni necessarie (`IssueCertificate``GetCertificate`, e`ListPermissions`) affinché ACM possa rinnovare automaticamente i certificati.

```
$ aws acm-pca create-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --actions IssueCertificate GetCertificate ListPermissions \
     --principal acm.amazonaws.com
```

Utilizza il comando [list-permissions](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/list-permissions.html) per elencare le autorizzazioni delegate da una CA.

```
$ aws acm-pca list-permissions \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID
```

Utilizzate il comando [delete-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-permission.html) per revocare le autorizzazioni assegnate da una CA a un responsabile del servizio. AWS 

```
$ aws acm-pca delete-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --principal acm.amazonaws.com
```