기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Private CA 를 사용하여 두 가지 경우 중 하나에서 ACM 인증서에 서명할 수 있습니다.
-
단일 계정: 서명 CA와 발급된 AWS Certificate Manager (ACM) 인증서는 동일한 AWS 계정에 있습니다.
단일 계정 발급 및 갱신을 사용하려면, AWS Private CA 관리자가 ACM 서비스 보안 주체에 인증서를 생성, 검색 및 나열할 수 있는 권한을 부여해야 합니다. 이는 API 작업 CreatePermission 또는 AWS CLI 명령 create-permission을 사용하여 AWS Private CA 수행됩니다. 계정 소유자는 인증서 발급을 담당하는 IAM 사용자, 그룹 또는 역할에 이러한 권한을 할당합니다.
-
교차 계정: 서명 CA와 발급된 ACM 인증서는 서로 다른 AWS 계정에 있으며 인증서가 있는 계정에 CA에 대한 액세스 권한이 부여되었습니다.
교차 계정 발급 및 갱신을 AWS Private CA 활성화하려면 관리자가 AWS Private CA API 작업 PutPolicy 또는 AWS CLI 명령 put-policy를 사용하여 CA에 리소스 기반 정책을 연결해야 합니다. 이 정책은 CA에 대해 제한된 액세스가 허용되는 다른 계정의 보안 주체를 지정합니다. 자세한 내용은 ACM Private CA에서 리소스 기반 정책 사용을 참조하세요.
계정 간 시나리오에서는 ACM이 PCA 정책과 보안 주체로서 상호 작용하는 서비스 연결 역할(SLR)을 설정해야 합니다. ACM은 첫 번째 인증서를 발급하는 동안 SLR을 자동으로 생성합니다.
이 경우 ACM은 계정에 SLR이 있는지 여부를 확인할 수 없다는 알림을 표시할 수 있습니다. 필요한
iam:GetRole권한이 이미 계정의 ACM SLR에 부여된 경우, SLR이 생성된 후 알림이 다시 표시되지 않습니다. 알림이 다시 표시될 경우 사용자 또는 계정 관리자가 ACM에iam:GetRole권한을 부여하거나 계정을 ACM 관리형 정책AWSCertificateManagerFullAccess에 연결해야 할 수 있습니다.자세한 내용은 ACM에서 서비스 연결 역할 사용을 참조하세요.
중요
ACM 인증서를 자동으로 갱신하려면 지원되는 AWS 서비스와 적극적으로 연결해야 합니다. ACM이 지원하는 리소스에 대한 자세한 내용은 ACM에 통합된 서비스 섹션을 참조하세요.
