Condiciones de uso de AWS Private CA para firmar certificados privados de ACM - AWS Certificate Manager

Condiciones de uso de AWS Private CA para firmar certificados privados de ACM

Puede utilizar Autoridad de certificación privada de AWS para firmar los certificados de ACM en estos dos casos:

  • Cuenta única: la CA firmante y el certificado de AWS Certificate Manager (ACM) que se emite residen en la misma cuenta de AWS.

    Para permitir la emisión y las renovaciones de una única cuenta, el administrador de Autoridad de certificación privada de AWS debe conceder permiso a la entidad principal del servicio de ACM para crear, recuperar y enumerar certificados. Esto se consigue mediante la acción CreatePermission de la API de Autoridad de certificación privada de AWS o el comando create-permission de la AWS CLI. El propietario de la cuenta asigna estos permisos a un usuario, grupo o rol de IAM responsable de emitir certificados.

  • Entre cuentas: la CA emisora de certificados y el certificado de ACM que se emite residen en diferentes cuentas de AWS, y se ha concedido acceso a la CA a la cuenta donde reside el certificado.

    Para permitir la emisión y las renovaciones entre cuentas, el administrador de Autoridad de certificación privada de AWS debe asociar una política basada en recursos a la CA mediante la acción PutPolicy de la API de Autoridad de certificación privada de AWS o el comando put-policy de la AWS CLI. La política especifica las entidades principales de otras cuentas a las que se permite el acceso limitado a la CA. Para obtener más información, consulte Utilización de una política con base en recursos con ACM Private CA.

    El escenario entre cuentas también requiere que ACM configure un rol vinculado a servicios (SLR) para interactuar como entidad principal con la política de PCA. ACM crea el SLR automáticamente mientras emite el primer certificado.

    ACM podría avisarle que no puede determinar si existe un SLR en su cuenta. Si ya se ha concedido el permiso iam:GetRole necesario al SLR de ACM para su cuenta, el aviso no se repetirá después de crearse el SLR. Si se repite, es posible que usted o el administrador de su cuenta tengan que conceder el permiso iam:GetRole a ACM o asociar la cuenta a la política AWSCertificateManagerFullAccess administrada por ACM.

    Para obtener más información, consulte Utilización de un rol vinculado a servicios con ACM.

importante

Para que se pueda renovar de forma automática, el certificado de ACM debe estar asociado activamente a un servicio de AWS admitido. Para obtener información sobre los recursos que admite ACM, consulte Servicios integrados con ACM.