As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Uso de perfis vinculados ao serviço (SLR) com o ACM

O AWS Certificate Manager usa um perfil vinculado ao serviço do AWS Identity and Access Management (IAM) para permitir renovações automáticas de certificados privados emitidos por uma CA privada para outra conta compartilhada pelo AWS Resource Access Manager. Uma função vinculada a serviço (SLR) é uma função do IAM que é vinculada diretamente a um serviço do ACM. As SLRs são predefinidas pelo ACM e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

A SLR facilita a configuração do ACM porque você não precise adicionar manualmente as permissões necessárias para a assinatura automática de certificados. O ACM define as permissões dessa função vinculada ao serviço e, a menos que definido em contrário, somente o ACM pode assumir a função. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros serviços que suportam SLRs, consulte Serviços da AWScompatíveis com o IAM e procure os serviços que contêm Yes (Sim) na coluna Service-Linked Role (Função vinculada ao serviço). Escolha um Yes (Sim) com um link para visualizar a documentação da SLR desse serviço.

Permissões de SLR para o ACM

O ACM usa uma SLR denominada Política de função de serviço do Amazon Certificate Manager.

A SLR AWSServiceRoleForCertificateManage confia nos seguintes serviços para assumir a função:

A política de permissões da função permite que o ACM realize as seguintes ações nos recursos especificados:

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma SLR. Para mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Criação da a SLR para o ACM

Você não precisa criar manualmente a SLR usada pelo ACM. Quando você emite um certificado do ACM usando o comando AWS Management Console, a AWS CLI, ou a API da AWS, o ACM cria a SLR para você na primeira vez que você escolhe uma CA privada para outra conta compartilhada pelo AWS RAM para assinar seu certificado.

Se você encontrar mensagens informando que o ACM não pode determinar se existe uma SLR em sua conta, isso pode significar que sua conta não concedeu uma permissão de leitura exigida pela CA privada da AWS. Isso não impedirá que a SLR seja instalado e você ainda poderá emitir certificados, mas o ACM não poderá renovar os certificados automaticamente até que você resolva o problema. Para ter mais informações, consulte Problemas com a função vinculada ao serviço (SLR) do ACM.

Se você excluir essa SLR e precisar criá-la novamente, poderá usar um destes métodos:

Para obter mais informações, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM.

Criação da SLR para o ACM

O ACM não permite que você edite a função vinculada ao serviço AWSServiceRoleForCertificateManager. Depois que criar uma SLR, você não pode alterar o nome da função, pois várias entidades podem fazer referência a ela. No entanto, será possível editar a descrição da função usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluindo a SLR para o ACM

Não é necessário excluir manualmente a SLR AWSServiceRoleForCertificateManager. No entanto, você pode excluir a função manualmente usando o console do IAM, a AWS CLI ou a API da AWS. Para mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões suportadas para SLRs do ACM

O ACM oferece suporte ao uso de SLRs em todas as regiões onde o ACM e a CA privada da AWS estão disponíveis. Para mais informações, consulte Regiões e endpoints da AWS.