As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criar permissões de conta única para um usuário do IAM
Quando o administrador da CA (ou seja, o proprietário da CA) e o emissor do certificado residem em uma única AWS conta, a [melhor prática](ca-best-practices.md) é separar as funções de emissor e administrador criando um usuário AWS Identity and Access Management (IAM) com permissões limitadas. Para obter informações sobre como usar o IAM com CA privada da AWS, junto com exemplos de permissões, consulte[Identity and Access Management (IAM) para Autoridade de Certificação Privada da AWS](security-iam.md).
**Single-account caso 1: Emissão de um certificado não gerenciado**
Nesse caso, o proprietário da conta cria uma CA privada e, em seguida, cria um usuário do IAM com permissão para emitir certificados assinados pela CA privada. O usuário do IAM emite um certificado chamando a CA privada da AWS `IssueCertificate` API.
Os certificados emitidos dessa maneira não são gerenciados, o que significa que um administrador deve exportá-los e instalá-los nos dispositivos em que devem ser usados. Eles também devem ser renovados manualmente ao expirarem. A emissão de um certificado usando essa API requer uma solicitação de assinatura de certificado (CSR) e um par de chaves gerados externamente pelo CA privada da AWS [OpenSSL](https://www.openssl.org/) ou por um programa similar. Para obter mais informações, consulte a `IssueCertificate`a documentação do [https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html).
**Single-account caso 2: Emissão de um certificado gerenciado por meio do ACM**
Esse segundo caso envolve operações de API do ACM e do PCA. O proprietário da conta cria uma CA privada e um usuário do IAM como antes. Em seguida, o proprietário da conta [concede permissão](create-CA.md#PcaCreateAcmPerms) à entidade principal de serviço do ACM para renovar automaticamente todos os certificados assinados por essa CA. O usuário do IAM emite novamente o certificado, mas dessa vez chamando a API `RequestCertificate` do ACM, que lida com a geração de CSRs e de chaves. Quando o certificado expirar, o ACM automatizará o fluxo de trabalho de renovação.
O proprietário da conta tem a opção de conceder permissão de renovação por meio do console de gerenciamento durante ou após a criação da CA ou usando a API `CreatePermission` do PCA. Os certificados gerenciados criados a partir desse fluxo de trabalho estão disponíveis para uso com AWS serviços integrados ao ACM.
A seção a seguir inclui procedimentos para conceder permissões de renovação.
## Atribuir permissões de renovação de certificado ao ACM
Com a [renovação gerenciada](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) no AWS Certificate Manager (ACM), você pode automatizar o processo de renovação de certificados para certificados públicos e privados. Para que o ACM renova automaticamente os certificados gerados por uma CA privada, a entidade principal de serviço do ACM deve receber toda a permissão possível *pela própria CA*. Se essas permissões de renovação não estiverem presentes para o ACM, o proprietário da CA (ou um representante autorizado) deverá reemitir manualmente cada certificado privado quando ele expirar.
**Importante**
Esses procedimentos para atribuir permissões de renovação se aplicam somente quando o proprietário da CA e o emissor do certificado residem na mesma AWS conta. Para cenários entre contas, consulte [Anexe uma política para acesso entre contas](pca-ram.md).
As permissões de renovação podem ser delegadas durante a [criação da CA privada](create-CA.md) ou alteradas a qualquer momento depois, desde que a CA esteja no estado `ACTIVE`.
Você pode gerenciar permissões de CA privada no [Console do CA privada da AWS](https://console.aws.amazon.com/acm-pca), na [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/reference/) ou na [API do CA privada da AWS](https://docs.aws.amazon.com/privateca/latest/APIReference/):
**Para atribuir permissões de CA ao ACM (console)**
1. Faça login na sua AWS conta e abra o CA privada da AWS console em [https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home).
1. Na página **Autoridades de certificação privadas**, escolha sua CA privada na lista.
1. Escolha **Ações**, **Configurar permissões da CA**.
1. Selecione **Autorizar acesso ao ACM para renovar certificados solicitados por essa conta**.
1. Escolha **Salvar**.
**Para gerenciar as permissões do ACM em CA privada da AWS ()AWS CLI**
Use o comando [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) para atribuir permissões ao ACM. Atribua todas as permissões necessárias (`IssueCertificate`, `GetCertificate` e `ListPermissions`) para que o ACM renove automaticamente seus certificados.
```
$ aws acm-pca create-permission \
--certificate-authority-arn arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}} \
--actions {{IssueCertificate}} {{GetCertificate}} {{ListPermissions}} \
--principal acm.amazonaws.com
```
Use o comando [list-permissions](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/list-permissions.html) para listar as permissões delegadas por uma CA.
```
$ aws acm-pca list-permissions \
--certificate-authority-arn arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}}
```
Use o comando [delete-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-permission.html) para revogar as permissões atribuídas por uma CA a um diretor de serviço. AWS
```
$ aws acm-pca delete-permission \
--certificate-authority-arn arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}} \
--principal acm.amazonaws.com
```