本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用服務連結角色 (SLR) ACM
AWS Certificate Manager 使用 AWS Identity and Access Management (IAM)服務鏈接角色,以啟用從私有 CA 發行的私有證書自動續訂由共享的另一個帳戶 AWS Resource Access Manager。 服務連結角色 (SLR) 是直接連結至ACM服務的IAM角色。SLRs由預先定義ACM並包含服務呼叫其他所需的所有權限 AWS 代表您提供的服務。
因為您不必手動新增必要的權限來進行自動憑證簽署,因此設定SLR變得更加ACM容易。ACM定義了它的權限SLR,除非另有定義,否則只ACM能承擔該角色。定義的權限包括信任原則和權限原則,而且該權限原則無法附加至任何其他IAM實體。
如需其他支援服務的相關資訊SLRs,請參閱 AWS 使用的服務,IAM並在服務連結角色欄中尋找具有 [是] 的服務。選擇 [是],並附有連結以檢視該服務的SLR說明文件。
SLR權限 ACM
ACM使用SLR具名的 Amazon Certificate Manager 服務角色政策。
AWSServiceRoleForCertificateManager SLR信任下列服務擔任該角色:
-
acm.amazonaws.com
角色權限原則允許ACM對指定的資源完成下列動作:
-
動作:
acm-pca:IssueCertificate,acm-pca:GetCertificateon "*"
您必須設定權限才能允許IAM實體 (例如使用者、群組或角色) 建立、編輯或刪除SLR. 如需詳細資訊,請參閱IAM使用指南中的服務連結角色權限。
重要
ACM可能會提醒您,它無法確定您的帳戶中是否SLR存在。如果您的帳戶已授與所需的iam:GetRoleACMSLR權限,則在建立之後不會再次發生警示。SLR如果重複發生,則您或您的帳戶管理員可能需要授與iam:GetRole權限ACM,或將您的帳戶與 ACM-managed 策略建立關聯。AWSCertificateManagerFullAccess
建立用SLR於 ACM
您不需要手動創建SLR使ACM用. 當您ACM使用 AWS Management Console,該 AWS CLI,或 AWS API,ACM為您第一次SLR為您共享的另一個帳戶創建私人 CA AWS RAM 簽署您的證書。
如果您遇到訊息,指出ACM無法判斷您的帳戶是否SLR存在,這可能表示您的帳戶未授予以下讀取權限: AWS 私有 CA 需要。這不會阻SLR止安裝,您仍然可以發行憑證,但ACM在您解決問題之前,無法自動更新憑證。如需詳細資訊,請參閱ACM服務連結角色的問題 () SLR。
重要
如果SLR您在使用此角色所支援功能的其他服務中完成動作,這可能會出現在您的帳戶中。此外,如果您在 2017 年 1 月 1 日之前使用該ACM服務,那麼當它開始支持時SLRs,請在您的帳戶中ACM創建該 AWSServiceRoleForCertificateManager 角色。若要深入瞭解,請參閱我的IAM帳戶中出現新角色。
如果您刪除它SLR,然後需要再次創建它,則可以使用以下任一方法:
-
在IAM主控台中,選擇 [角色]、[建立角色]、[Cer tificate Manager],以CertificateManagerServiceRolePolicy使用案例建立新角色。
-
使用IAMAPICreateServiceLinkedRole或對應的 AWS CLI 指令中 create-service-linked-role,使SLR用
acm.amazonaws.com服務名稱建立。
如需詳細資訊,請參閱IAM使用指南中的建立服務連結角色。
編輯SLR的 ACM
ACM不允許您編輯 AWSServiceRoleForCertificateManager 服務連結角色。建立之後SLR,您無法變更角色的名稱,因為各種實體可能會參照該角色。但是,您可以使用編輯角色的描述IAM。如需詳細資訊,請參閱IAM使用指南中的編輯服務連結角色。
刪除SLR的 ACM
您通常不需要刪除 AWSServiceRoleForCertificateManager SLR. 不過,您可以使用IAM主控台手動刪除角色, AWS CLI 或 AWS API。如需詳細資訊,請參閱IAM使用指南中的刪除服務連結角色。
支援的地區 ACM SLRs
ACM支持SLRs在所有區域中使用ACM和 AWS 私有 CA 是可用的。如需詳細資訊,請參閱 AWS 區域和端點。
| 區域名稱 | 區域身分 | Support 中 ACM |
|---|---|---|
| 美國東部 (維吉尼亞北部) | us-east-1 | 是 |
| 美國東部 (俄亥俄) | us-east-2 | 是 |
| 美國西部 (加利佛尼亞北部) | us-west-1 | 是 |
| 美國西部 (奧勒岡) | us-west-2 | 是 |
| 亞太區域 (孟買) | ap-south-1 | 是 |
| 亞太區域 (大阪) | ap-northeast-3 | 是 |
| 亞太區域 (首爾) | ap-northeast-2 | 是 |
| 亞太區域 (新加坡) | ap-southeast-1 | 是 |
| 亞太區域 (雪梨) | ap-southeast-2 | 是 |
| 亞太區域 (東京) | ap-northeast-1 | 是 |
| 加拿大 (中部) | ca-central-1 | 是 |
| 歐洲 (法蘭克福) | eu-central-1 | 是 |
| 歐洲 (蘇黎世) | eu-central-2 | 是 |
| 歐洲 (愛爾蘭) | eu-west-1 | 是 |
| 歐洲 (倫敦) | eu-west-2 | 是 |
| 歐洲 (巴黎) | eu-west-3 | 是 |
| 南美洲 (聖保羅) | sa-east-1 | 是 |
| AWS GovCloud (美國西部) | us-gov-west-1 | 是 |
| AWS GovCloud (美國東部) 東 | us-gov-east-1 | 是 |
