Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Steuern Sie den Zugriff auf die private CA
Jeder Benutzer mit den erforderlichen Berechtigungen für eine private Zertifizierungsstelle AWS Private CA kann diese Zertifizierungsstelle verwenden, um andere Zertifikate zu signieren. Der Besitzer der Zertifizierungsstelle kann Zertifikate ausstellen oder die erforderlichen Berechtigungen für die Ausstellung von Zertifikaten an einen AWS Identity and Access Management (IAM-) Benutzer delegieren, der sich in derselben befindet. AWS-Konto[Ein Benutzer, der in einem anderen AWS Konto ansässig ist, kann auch Zertifikate ausstellen, wenn er vom Eigentümer der Zertifizierungsstelle im Rahmen einer ressourcenbasierten Richtlinie autorisiert wurde.](pca-rbp.md)
Autorisierte Benutzer, unabhängig davon, ob es sich um ein einzelnes Konto oder um ein Konto mit mehreren Konten handelt, können unsere Ressourcen bei der Ausstellung von Zertifikaten verwenden AWS Private CA . AWS Certificate Manager Zertifikate, die über den AWS Private CA [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API-Befehl oder den CLI-Befehl [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) ausgestellt wurden, werden nicht verwaltet. Solche Zertifikate erfordern eine manuelle Installation auf den Zielgeräten und eine manuelle Verlängerung, wenn sie ablaufen. Zertifikate, die über die ACM-Konsole, die [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)ACM-API oder den CLI-Befehl [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) ausgestellt wurden, werden verwaltet. Solche Zertifikate können problemlos in Diensten installiert werden, die in ACM integriert sind. Wenn der CA-Administrator dies zulässt und das Konto des Ausstellers über eine [dienstbezogene Rolle](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html) für ACM verfügt, werden verwaltete Zertifikate nach Ablauf automatisch erneuert.
**Topics**
+ [Erstellen Sie Einzelkontoberechtigungen für einen IAM-Benutzer](assign-permissions.md)
+ [Fügen Sie eine Richtlinie für den kontoübergreifenden Zugriff bei](pca-ram.md)
# Erstellen Sie Einzelkontoberechtigungen für einen IAM-Benutzer
Wenn der Zertifizierungsstellenadministrator (d. h. der Besitzer der Zertifizierungsstelle) und der Zertifikatsaussteller in einem einzigen AWS Konto ansässig sind, besteht eine [bewährte Methode](ca-best-practices.md) darin, die Rollen des Ausstellers und des Administrators zu trennen, indem ein AWS Identity and Access Management (IAM-) Benutzer mit eingeschränkten Rechten erstellt wird. Informationen zur Verwendung von IAM mit AWS Private CA sowie Beispielberechtigungen finden Sie unter. [Identity and Access Management (IAM) für AWS Private Certificate Authority](security-iam.md)
**Fall 1 für ein einzelnes Konto: Ausstellung eines nicht verwalteten Zertifikats**
In diesem Fall erstellt der Kontoinhaber eine private Zertifizierungsstelle und anschließend einen IAM-Benutzer mit der Berechtigung, von der privaten Zertifizierungsstelle signierte Zertifikate auszustellen. Der IAM-Benutzer stellt ein Zertifikat aus, indem er die AWS Private CA `IssueCertificate` API aufruft.
![\[Ein nicht verwaltetes Zertifikat ausstellen\]](http://docs.aws.amazon.com/de_de/privateca/latest/userguide/images/ca_access_1_account_pca_api.png)
Auf diese Weise ausgestellte Zertifikate werden nicht verwaltet, was bedeutet, dass ein Administrator sie exportieren und auf Geräten installieren muss, auf denen sie verwendet werden sollen. Sie müssen außerdem manuell erneuert werden, wenn sie ablaufen. Die Ausstellung eines Zertifikats mithilfe dieser API erfordert eine Zertifikatsignieranforderung (CSR) und ein key pair, die außerhalb AWS Private CA von [OpenSSL](https://www.openssl.org/) oder einem ähnlichen Programm generiert werden. [Weitere Informationen finden Sie in der `IssueCertificate` Dokumentation.](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)
**Fall 2 für ein einzelnes Konto: Ausstellung eines verwalteten Zertifikats über ACM**
Dieser zweite Fall beinhaltet API-Operationen sowohl von ACM als auch von PCA. Der Kontoinhaber erstellt wie zuvor einen privaten CA- und IAM-Benutzer. Der Kontoinhaber [erteilt dem ACM-Dienstprinzipal dann die Erlaubnis](create-CA.md#PcaCreateAcmPerms), alle von dieser CA signierten Zertifikate automatisch zu erneuern. Der IAM-Benutzer stellt das Zertifikat erneut aus, diesmal jedoch durch Aufrufen der `RequestCertificate` ACM-API, die für die CSR und die Schlüsselgenerierung zuständig ist. Wenn das Zertifikat abläuft, automatisiert ACM den Verlängerungsablauf.
![\[Ausstellung eines verwalteten Zertifikats\]](http://docs.aws.amazon.com/de_de/privateca/latest/userguide/images/ca_access_1_account_acm_api.png)
Der Kontoinhaber hat die Möglichkeit, während oder nach der Erstellung der Zertifizierungsstelle oder mithilfe der `CreatePermission` PCA-API über die Verwaltungskonsole Verlängerungsberechtigungen zu erteilen. Die aus diesem Workflow erstellten verwalteten Zertifikate können mit AWS Diensten verwendet werden, die in ACM integriert sind.
Der folgende Abschnitt enthält Verfahren zur Erteilung von Verlängerungsberechtigungen.
## Weisen Sie ACM Berechtigungen zur Zertifikatsverlängerung zu
Mit [Managed Renewal](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) in AWS Certificate Manager (ACM) können Sie den Prozess der Zertifikatserneuerung sowohl für öffentliche als auch für private Zertifikate automatisieren. Damit ACM die von einer privaten Zertifizierungsstelle generierten Zertifikate automatisch erneuern kann, muss dem ACM-Dienstprinzipal *von der* CA selbst alle möglichen Berechtigungen erteilt werden. Wenn diese Verlängerungsberechtigungen für ACM nicht vorhanden sind, muss der Eigentümer der Zertifizierungsstelle (oder ein bevollmächtigter Vertreter) jedes private Zertifikat manuell neu ausstellen, wenn es abläuft.
**Wichtig**
Diese Verfahren für die Zuweisung von Verlängerungsberechtigungen gelten nur, wenn sich der Eigentümer der Zertifizierungsstelle und der Zertifikatsaussteller im selben Konto befinden. AWS Informationen zu kontenübergreifenden Szenarien finden Sie unter. [Fügen Sie eine Richtlinie für den kontoübergreifenden Zugriff bei](pca-ram.md)
Erneuerungsberechtigungen können während der [Erstellung einer privaten CA](create-CA.md) delegiert oder jederzeit geändert werden, sofern sich die CA im `ACTIVE`-Status befindet.
Sie können private CA-Berechtigungen über die [AWS Private CA -Konsole](https://console.aws.amazon.com/acm-pca), die [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/reference/) oder die [AWS Private CA -API](https://docs.aws.amazon.com/privateca/latest/APIReference/) verwalten:
**So weisen Sie ACM (Konsole) private CA-Berechtigungen zu**
1. Melden Sie sich bei Ihrem AWS Konto an und öffnen Sie die AWS Private CA Konsole zu [https://console.aws.amazon.com/acm-pca/Hause](https://console.aws.amazon.com/acm-pca/home).
1. Wählen Sie auf der **Seite Private Zertifizierungsstellen** Ihre private Zertifizierungsstelle aus der Liste aus.
1. Wählen Sie **Aktionen**, **CA-Berechtigungen konfigurieren** aus.
1. Wählen Sie **ACM-Zugriff autorisieren aus, um die von diesem Konto angeforderten Zertifikate zu erneuern**.
1. Wählen Sie **Speichern**.
**Um ACM-Berechtigungen in () zu verwalten AWS Private CA AWS CLI**
Verwenden Sie den Befehl [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html), um ACM Berechtigungen zuzuweisen. Sie müssen die erforderlichen Berechtigungen (`IssueCertificate`, und`ListPermissions`) zuweisen`GetCertificate`, damit ACM Ihre Zertifikate automatisch erneuern kann.
```
$ aws acm-pca create-permission \
--certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
--actions IssueCertificate GetCertificate ListPermissions \
--principal acm.amazonaws.com
```
Verwenden Sie den Befehl [list-permissions](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/list-permissions.html), um die von einer CA delegierten Berechtigungen aufzulisten.
```
$ aws acm-pca list-permissions \
--certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID
```
Verwenden Sie den Befehl [delete-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-permission.html), um die einem Dienstprinzipal von einer Zertifizierungsstelle zugewiesenen Berechtigungen zu widerrufen. AWS
```
$ aws acm-pca delete-permission \
--certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
--principal acm.amazonaws.com
```
# Fügen Sie eine Richtlinie für den kontoübergreifenden Zugriff bei
Wenn sich der Zertifizierungsstellenadministrator und der Zertifikatsaussteller in unterschiedlichen AWS Konten befinden, muss sich der Zertifizierungsstellenadministrator den Zugriff auf die Zertifizierungsstelle teilen. Dies wird erreicht, indem eine ressourcenbasierte Richtlinie an die Zertifizierungsstelle angehängt wird. Die Richtlinie gewährt einem bestimmten Prinzipal, bei dem es sich um einen AWS Kontoinhaber, einen IAM-Benutzer, eine ID oder eine AWS Organizations Organisationseinheits-ID handeln kann, Erteilungsberechtigungen.
Ein CA-Administrator kann Richtlinien auf folgende Weise anhängen und verwalten:
+ In der Managementkonsole mithilfe von AWS Resource Access Manager (RAM), einer Standardmethode für die gemeinsame Nutzung von AWS Ressourcen zwischen Konten. Wenn Sie eine CA-Ressource AWS RAM mit einem Principal in einem anderen Konto gemeinsam nutzen, wird die erforderliche ressourcenbasierte Richtlinie automatisch an die CA angehängt. Weitere Informationen zu RAM finden Sie im [AWS RAM Benutzerhandbuch](https://docs.aws.amazon.com/ram/latest/userguide/).
**Anmerkung**
Sie können die RAM-Konsole ganz einfach öffnen, indem Sie eine Zertifizierungsstelle und dann **Aktionen**, **Ressourcenfreigaben verwalten** auswählen.
+ Programmgesteuert, mithilfe der PCA APIs [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html), und [GetPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html). [DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html)
+ [Manuell mithilfe der PCA-Befehle [put-policy, [get-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html) und delete-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html) in der.](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html) AWS CLI
Nur für die Konsolenmethode ist RAM-Zugriff erforderlich.
**Kontoübergreifender Fall 1: Ausstellung eines verwalteten Zertifikats über die Konsole**
In diesem Fall verwendet der CA-Administrator AWS Resource Access Manager (AWS RAM), um den CA-Zugriff mit einem anderen AWS Konto zu teilen, sodass dieses Konto verwaltete ACM-Zertifikate ausstellen kann. Das Diagramm zeigt, dass AWS RAM die Zertifizierungsstelle direkt mit dem Konto oder indirekt über eine AWS Organizations ID, der das Konto angehört, gemeinsam genutzt werden kann.
![\[Kontoübergreifende Ausgabe mit der Konsole\]](http://docs.aws.amazon.com/de_de/privateca/latest/userguide/images/ca_access_2_accounts_console.png)
Nachdem RAM eine Ressource gemeinsam genutzt hat AWS Organizations, muss der Principal des Empfängers die Ressource akzeptieren, damit sie wirksam wird. Der Empfänger kann so konfigurieren AWS Organizations , dass angebotene Shares automatisch akzeptiert werden.
**Anmerkung**
Das Empfängerkonto ist für die Konfiguration der automatischen Verlängerung in ACM verantwortlich. In der Regel installiert ACM bei der ersten Verwendung einer gemeinsam genutzten Zertifizierungsstelle eine dienstbezogene Rolle, die es ermöglicht, unbeaufsichtigte Zertifikatsanrufe zu tätigen. AWS Private CA Schlägt dies fehl (in der Regel aufgrund einer fehlenden Berechtigung), werden die Zertifikate der Zertifizierungsstelle nicht automatisch erneuert. Nur der ACM-Benutzer kann das Problem lösen, nicht der CA-Administrator. Weitere Informationen finden Sie unter [Verwenden einer Service Linked Role (SLR) mit](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html) ACM.
**Kontoübergreifender Fall 2: Ausstellung verwalteter und nicht verwalteter Zertifikate mithilfe der API oder CLI**
In diesem zweiten Fall werden die Optionen für die gemeinsame Nutzung und Ausstellung veranschaulicht, die mithilfe der AWS Certificate Manager API und möglich sind. AWS Private CA All diese Operationen können auch mit den entsprechenden AWS CLI Befehlen ausgeführt werden.
![\[Kontoübergreifende Emission unter Verwendung der APIs\]](http://docs.aws.amazon.com/de_de/privateca/latest/userguide/images/ca_access_2_accounts_api_options.png)
Da die API-Operationen in diesem Beispiel direkt verwendet werden, hat der Zertifikatsaussteller die Wahl zwischen zwei API-Vorgängen, um ein Zertifikat auszustellen. Die PCA-API-Aktion `IssueCertificate` führt zu einem nicht verwalteten Zertifikat, das nicht automatisch erneuert wird und exportiert und manuell installiert werden muss. Die ACM-API-Aktion [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)führt zu einem verwalteten Zertifikat, das einfach auf integrierten ACM-Diensten installiert werden kann und automatisch erneuert wird.
**Anmerkung**
Das Empfängerkonto ist für die Konfiguration der automatischen Verlängerung in ACM verantwortlich. In der Regel installiert ACM bei der ersten Verwendung einer gemeinsam genutzten Zertifizierungsstelle eine dienstbezogene Rolle, über die Zertifikate unbeaufsichtigt abgerufen werden können. AWS Private CA Schlägt dies fehl (in der Regel aufgrund einer fehlenden Berechtigung), werden die Zertifikate der Zertifizierungsstelle nicht automatisch erneuert, und nur der ACM-Benutzer kann das Problem lösen, nicht der CA-Administrator. Weitere Informationen finden Sie unter [Verwenden einer Service Linked Role (SLR) mit](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html) ACM.