Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Controle el acceso a la CA privada
<a name="granting-ca-access"></a>

Cualquier usuario con los permisos necesarios en una entidad emisora de certificados privada Autoridad de certificación privada de AWS puede utilizarla para firmar otros certificados. El propietario de la CA puede emitir certificados o delegar los permisos necesarios para emitirlos a un usuario AWS Identity and Access Management (de IAM) que resida en la misma Cuenta de AWS. Un usuario que reside en una AWS cuenta diferente también puede emitir certificados si el propietario de la CA lo autoriza mediante una política [basada en los recursos](pca-rbp.md).

Los usuarios autorizados, ya sean de una sola cuenta o de varias cuentas, pueden usar nuestros AWS Certificate Manager recursos al Autoridad de certificación privada de AWS emitir certificados. Los certificados que se emiten desde la Autoridad de certificación privada de AWS [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API o el comando de [CLI issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) no se administran. Estos certificados requieren una instalación manual en los dispositivos de destino y una renovación manual cuando caducan. Se administran los certificados emitidos desde la consola de ACM, la [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)API de ACM o el comando CLI [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html). Estos certificados se pueden instalar fácilmente en los servicios que se integran con ACM. Si el administrador de CA lo permite y la cuenta del emisor tiene una [función vinculada al servicio](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html) para ACM, los certificados administrados se renuevan automáticamente cuando caducan.

**Topics**
+ [Cree permisos de cuenta única para un usuario de IAM](assign-permissions.md)
+ [Asociar una política para el acceso entre cuentas](pca-ram.md)

# Cree permisos de cuenta única para un usuario de IAM
<a name="assign-permissions"></a>

Cuando el administrador de la CA (es decir, el propietario de la CA) y el emisor del certificado residen en una sola AWS cuenta, se recomienda separar las funciones [de](ca-best-practices.md) emisor y administrador mediante la creación de un usuario AWS Identity and Access Management (de IAM) con permisos limitados. Para obtener información sobre el uso de IAM con permisos Autoridad de certificación privada de AWS, junto con ejemplos de permisos, consulte. [Identity and Access Management (IAM) para AWS Private Certificate Authority](security-iam.md)

**Caso 1 de cuenta única: emisión de un certificado no administrado**  
En este caso, el propietario de la cuenta crea una CA privada y, a continuación, crea un usuario de IAM con permiso para emitir certificados firmados por la CA privada. El usuario de IAM emite un certificado llamando a la Autoridad de certificación privada de AWS `IssueCertificate` API.

![\[Emitir un certificado no gestionado\]](http://docs.aws.amazon.com/es_es/privateca/latest/userguide/images/ca_access_1_account_pca_api.png)


Los certificados emitidos de esta manera no se administran, lo que significa que un administrador debe exportarlos e instalarlos en los dispositivos en los que vayan a usarse. También deben renovarse manualmente cuando caduquen. La emisión de un certificado mediante esta API requiere una solicitud de firma de certificado (CSR) y un key pair generado fuera de Autoridad de certificación privada de AWS [OpenSSL](https://www.openssl.org/) o un programa similar. Para obtener más información, consulte la `IssueCertificate`documentación de [https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html).

**Caso 2 de cuenta única: emisión de un certificado gestionado a través de ACM**  
Este segundo caso se refiere a las operaciones de API tanto de ACM como de PCA. El propietario de la cuenta crea un usuario privado de CA e IAM como antes. A continuación, el propietario de la cuenta [concede permiso](create-CA.md#PcaCreateAcmPerms) a la entidad principal del servicio de ACM para renovar automáticamente todos los certificados firmados por esta CA. El usuario de IAM vuelve a emitir el certificado, pero esta vez mediante una llamada a la API `RequestCertificate` de ACM, que se encarga de la CSR y de la generación de claves. Cuando el certificado caduca, ACM automatiza el flujo de trabajo de renovación.

![\[Emitir un certificado gestionado\]](http://docs.aws.amazon.com/es_es/privateca/latest/userguide/images/ca_access_1_account_acm_api.png)


El propietario de la cuenta tiene la opción de conceder el permiso de renovación a través de la consola de administración durante o después de la creación de la CA o mediante la API `CreatePermission` de la PCA. Los certificados gestionados creados a partir de este flujo de trabajo están disponibles para su uso con los AWS servicios que están integrados con ACM.

La siguiente sección contiene los procedimientos para conceder permisos de renovación.

## Asignación de permisos de renovación de certificados a ACM
<a name="PcaPermissions"></a>

Con la [renovación administrada](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) en AWS Certificate Manager (ACM), puede automatizar el proceso de renovación de certificados tanto en entidades de certificación públicas como privadas. Para que ACM renueve automáticamente los certificados generados por una CA privada, *la propia CA* debe conceder todos los permisos posibles al a la entidad principal del servicio de ACM. Si no se conceden estos permisos de renovación para ACM, el propietario de la CA (o un representante autorizado) deben renovar manualmente cada certificado privado cuando caduca.

**importante**  
Estos procedimientos para asignar permisos de renovación solo se aplican cuando el propietario de la CA y el emisor del certificado residen en la misma cuenta. AWS En el caso de un escenario entre cuentas, consulte [Asociar una política para el acceso entre cuentas](pca-ram.md).

Los permisos de renovación se pueden delegar durante la [creación de entidad de certificación privada](create-CA.md) o modificar en cualquier momento después, siempre que la entidad de certificación esté en el estado `ACTIVE`.

Puede administrar permisos de entidad de certificación desde la [consola de Autoridad de certificación privada de AWS](https://console.aws.amazon.com/acm-pca), la [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/reference/) o la [API de Autoridad de certificación privada de AWS](https://docs.aws.amazon.com/privateca/latest/APIReference/):

**Para asignar permisos de CA privada a ACM (consola)**

1. [Inicie sesión en su AWS cuenta y abra la Autoridad de certificación privada de AWS consola de su casahttps://console.aws.amazon.com/acm-pca/.](https://console.aws.amazon.com/acm-pca/home)

1. En la página **Autoridad de certificación privada**, elija una CA privada de la lista.

1. Elija **Acciones** y **configure los permisos de la CA**.

1. Seleccione **Autorizar el acceso de ACM para renovar los certificados solicitados por esta cuenta**.

1. Seleccione **Save**.

**Para administrar los permisos de ACM en Autoridad de certificación privada de AWS ()AWS CLI**  
Utilice el comando [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) para asignar permisos a ACM. Debe asignar todos los permisos posibles (`IssueCertificate`, `GetCertificate` y `ListPermissions`) para que pueda renovar automáticamente los certificados.

```
$ aws acm-pca create-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --actions IssueCertificate GetCertificate ListPermissions \
     --principal acm.amazonaws.com
```

Utilice el comando [list-permissions](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/list-permissions.html) para enumerar los permisos delegados por una entidad de certificación.

```
$ aws acm-pca list-permissions \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID
```

Utilice el comando [delete-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-permission.html) para revocar los permisos asignados por una CA a un director de servicio. AWS 

```
$ aws acm-pca delete-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --principal acm.amazonaws.com
```

# Asociar una política para el acceso entre cuentas
<a name="pca-ram"></a>

Cuando el administrador de la CA y el emisor del certificado residen en cuentas de AWS diferentes, el administrador de la CA debe compartir el acceso a la CA. Esto se logra al asociar una política basada en recursos a la CA. La política concede permisos de emisión a un director específico, que puede ser el propietario de la AWS cuenta, un usuario de IAM, un identificador o el AWS Organizations identificador de una unidad organizativa. 

Un administrador de CA puede asociar y administrar políticas de las siguientes maneras:
+ En la consola de administración, mediante AWS Resource Access Manager (RAM), que es un método estándar para compartir AWS recursos entre cuentas. Al compartir un recurso de CA AWS RAM con una entidad principal de otra cuenta, la política basada en los recursos requerida se adjunta automáticamente a la entidad emisora de certificados. Para obtener más información sobre la RAM, consulte la [Guía del usuario de AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/).
**nota**  
Para abrir fácilmente la consola de RAM, seleccione una CA y, a continuación, seleccione **Acciones** y **Administrar recursos compartidos**.
+ Mediante programación, mediante la APIs [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html)PCA, y. [GetPolicy[DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html)](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html)
+ Use los comandos de la PCA [put-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html), [get-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html) y [delete-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html) del AWS CLI de forma manual.

Solo el método de consola requiere acceso a la RAM.

**Caso multicuenta 1: emisión de un certificado gestionado desde la consola**  
En este caso, el administrador de CA usa AWS Resource Access Manager (AWS RAM) para compartir el acceso a la CA con otra AWS cuenta, lo que permite a esa cuenta emitir certificados ACM administrados. El diagrama muestra que AWS RAM puede compartir la CA directamente con la cuenta, o indirectamente a través de un AWS Organizations ID del que la cuenta es miembro.

![\[Emisión de cuentas cruzadas con la consola\]](http://docs.aws.amazon.com/es_es/privateca/latest/userguide/images/ca_access_2_accounts_console.png)


Una vez que RAM comparte un recurso AWS Organizations, el destinatario principal debe aceptar el recurso para que surta efecto. El destinatario puede configurarse AWS Organizations para aceptar automáticamente las acciones ofrecidas.

**nota**  
La cuenta del destinatario es responsable de configurar la renovación automática en ACM. Por lo general, la primera vez que se utiliza una CA compartida, ACM instala una función vinculada a un servicio que le permite realizar llamadas de certificado desatendidas en Autoridad de certificación privada de AWS. Si esto no funciona (normalmente debido a la falta de un permiso), los certificados de la CA no se renuevan automáticamente. Solo el usuario de ACM puede resolver el problema, no el administrador de la CA. Para obtener más información, consulte [Utilización de un rol asociado a servicios (SLR) con ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html).

**Caso multicuenta 2: emisión de certificados administrados y no administrados mediante la API o la CLI**  
Este segundo caso demuestra las opciones de compartición y emisión que son posibles mediante la Autoridad de certificación privada de AWS API AWS Certificate Manager and. Todas estas operaciones también se pueden realizar mediante los AWS CLI comandos correspondientes.

![\[Emisión multicuenta mediante el APIs\]](http://docs.aws.amazon.com/es_es/privateca/latest/userguide/images/ca_access_2_accounts_api_options.png)


Como las operaciones de la API se utilizan directamente en este ejemplo, el emisor del certificado puede elegir entre dos operaciones de API para emitir un certificado. La acción de la API de la PCA `IssueCertificate` da como resultado un certificado no administrado que no se renovará automáticamente y que deberá exportarse e instalarse manualmente. La acción de la API de ACM [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)da como resultado un certificado gestionado que se puede instalar fácilmente en los servicios integrados de ACM y se renueva automáticamente. 

**nota**  
La cuenta del destinatario es responsable de configurar la renovación automática en ACM. Por lo general, la primera vez que se utiliza una CA compartida, ACM instala una función vinculada a un servicio que le permite realizar llamadas de certificado desatendidas en Autoridad de certificación privada de AWS. Si esto no funciona (normalmente debido a la falta de un permiso), los certificados de la CA no se renovarán automáticamente y solo el usuario de ACM podrá resolver el problema, no el administrador de la CA. Para obtener más información, consulte [Utilización de un rol asociado a servicios (SLR) con ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html).