기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
ACM에서 서비스 연결 역할(SLR) 사용
AWS Certificate Manager는 AWS Identity and Access Management(IAM) 서비스 연결 역할을 사용하여 AWS Resource Access Manager에서 공유하는 다른 계정에 대해 프라이빗 CA에서 발급된 프라이빗 인증서의 자동 갱신을 활성화합니다. 서비스 연결 역할(SLR)은 ACM 서비스에 직접 연결된 IAM 역할입니다. SLR은 ACM에 의해 사전 정의되며 서비스에서 다른 AWS 서비스를 자동으로 호출하기 위해 필요한 모든 권한을 포함합니다.
SLR은 무인 인증서 서명에 필요한 권한을 수동으로 추가할 필요가 없으므로 ACM을 더 쉽게 설정할 수 있습니다. ACM이 SLR의 권한을 정의하므로, 달리 정의되지 않은 한 만 해당 역할을 맡을 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
SLR을 지원하는 기타 서비스에 대한 자세한 내용을 알아보려면 IAM으로 작업하는 AWS 서비스를 참조하고, 서비스 연결 역할(Service-Linked Role) 열에 예(Yes)가 있는 서비스를 찾으세요. 해당 서비스에 대한 SLR 설명서를 보려면 [예(Yes)] 링크를 선택합니다.
ACM에 대한 SLR 권한
ACM은 Amazon Certificate Manager 서비스 역할 정책이라는 SLR을 사용합니다.
AWSServiceRoleForCertificateManager SLR은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
-
acm.amazonaws.com
역할 권한 정책은 ACM이 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.
-
작업:
acm-pca:IssueCertificate, "*"에 대한acm-pca:GetCertificate
IAM 객체(사용자, 그룹, 역할 등)가 SLR을 작성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 권한 섹션을 참조하세요.
중요
이 경우 ACM은 계정에 SLR이 있는지 여부를 확인할 수 없다는 알림을 표시할 수 있습니다. 필요한 iam:GetRole 권한이 이미 계정의 ACM SLR에 부여된 경우, SLR이 생성된 후 알림이 다시 표시되지 않습니다. 알림이 다시 표시될 경우 사용자 또는 계정 관리자가 ACM에 iam:GetRole 권한을 부여하거나 계정을 ACM 관리형 정책 AWSCertificateManagerFullAccess에 연결해야 할 수 있습니다.
ACM에 대한 SLR 생성
ACM이 사용하는 SLR은 수동으로 생성할 필요가 없습니다. AWS Management Console, AWS CLI 또는 AWS API를 사용하여 ACM 인증서를 발급하는 경우, ACM은 인증서에 서명하기 위해 AWS RAM에서 공유하는 다른 계정에 대해 프라이빗 CA를 처음 선택할 때 SLR을 생성합니다.
ACM에서 계정에 SLR이 있는지를 확인할 수 없다는 메시지가 표시될 경우 사용자 계정에 AWS Private CA에 필요한 읽기 권한이 부여되지 않았음을 의미할 수 있습니다. 이 경우 SLR이 설치되지 않으며, 인증서를 계속 발급할 수 있지만 문제를 해결할 때까지 ACM이 인증서를 자동으로 갱신할 수 없습니다. 자세한 내용은 ACM 서비스 연결 역할(SLR) 문제 단원을 참조하십시오.
중요
이 SLR은 이 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 나타날 수 있습니다. 또한 ACM 서비스가 SLR을 지원하기 시작한 2017년 1월 1일 이전에 이 서비스를 사용 중이었다면 ACM이 사용자 계정에 AWSServiceRoleForCertificateManager 역할을 이미 생성했습니다. 자세한 내용은 내 IAM 계정에 표시되는 새 역할을 참조하세요.
이 SLR을 삭제할 경우, 다시 생성해야 하는 경우 다음 방법 중 하나를 사용할 수 있습니다.
-
IAM 콘솔에서 역할(Role), 역할 생성(Create role), Certificate Manager를 선택하여 CertificateManagerServiceRolePolicy 사용 사례로 새 역할을 생성합니다.
-
IAM API CreateServiceLinkedRole 또는 해당 AWS CLI 명령 create-service-linked-role을 사용하여
acm.amazonaws.com서비스 이름으로 SLR을 생성합니다.
자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 생성 단원을 참조하세요.
ACM에 대한 SLR 편집
ACM은 AWSServiceRoleForCertificateManager 서비스 연결 역할을 편집하도록 허용하지 않습니다. 다양한 주체가 역할을 참조할 수 있기 때문에 SLR이 생성된 후에는 역할 이름을 편집할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 편집을 참조하세요.
ACM에 대한 SLR 삭제
일반적으로 AWSServiceRoleForCertificateManager SLR은 수동으로 삭제하지 않아도 됩니다. 그러나 IAM 콘솔, AWS CLI 또는 AWSAPI를 사용하여 이 역할을 수동으로 삭제할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 삭제 섹션을 참조하십시오.
ACM SLR이 지원되는 리전
ACM은 ACM 및 AWS Private CA을(를) 모두 사용할 수 있는 모든 리전에서 SLR 사용을 지원합니다. 자세한 내용은 AWS 리전 및 엔드포인트 섹션을 참조하십시오.
| 지역명 | 리전 자격 증명 | ACM의 지원 |
|---|---|---|
| 미국 동부(버지니아 북부) | us-east-1 | 예 |
| 미국 동부(오하이오) | us-east-2 | 예 |
| 미국 서부(캘리포니아 북부) | us-west-1 | 예 |
| 미국 서부(오레곤) | us-west-2 | 예 |
| 아시아 태평양(뭄바이) | ap-south-1 | 예 |
| 아시아 태평양(오사카) | ap-northeast-3 | 예 |
| 아시아 태평양(서울) | ap-northeast-2 | 예 |
| 아시아 태평양(싱가포르) | ap-southeast-1 | 예 |
| 아시아 태평양(시드니) | ap-southeast-2 | 예 |
| 아시아 태평양(도쿄) | ap-northeast-1 | 예 |
| 캐나다(중부) | ca-central-1 | 예 |
| 유럽(프랑크푸르트) | eu-central-1 | 예 |
| 유럽(취리히) | eu-central-2 | 예 |
| 유럽(아일랜드) | eu-west-1 | 예 |
| 유럽(런던) | eu-west-2 | 예 |
| 유럽(파리) | eu-west-3 | 예 |
| 남아메리카(상파울루) | sa-east-1 | 예 |
| AWS GovCloud(미국 서부) | us-gov-west-1 | 예 |
| AWS GovCloud(미국 동부) 동부 | us-gov-east-1 | 예 |
