Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Asociar una política para el acceso entre cuentas Cuando el administrador de la CA y el emisor del certificado residen en cuentas de AWS diferentes, el administrador de la CA debe compartir el acceso a la CA. Esto se logra al asociar una política basada en recursos a la CA. La política concede permisos de emisión a un director específico, que puede ser el propietario de la AWS cuenta, un usuario de IAM, un identificador o el AWS Organizations identificador de una unidad organizativa. Un administrador de CA puede asociar y administrar políticas de las siguientes maneras: + En la consola de administración, mediante AWS Resource Access Manager (RAM), que es un método estándar para compartir AWS recursos entre cuentas. Al compartir un recurso de CA AWS RAM con una entidad principal de otra cuenta, la política basada en los recursos requerida se adjunta automáticamente a la entidad emisora de certificados. Para obtener más información sobre la RAM, consulte la [Guía del usuario de AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/). **nota** Para abrir fácilmente la consola de RAM, seleccione una CA y, a continuación, seleccione **Acciones** y **Administrar recursos compartidos**. + Mediante programación, mediante la APIs [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html)PCA, y. [GetPolicy[DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html)](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html) + Use los comandos de la PCA [put-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html), [get-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html) y [delete-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html) del AWS CLI de forma manual. Solo el método de consola requiere acceso a la RAM. **Caso multicuenta 1: emisión de un certificado gestionado desde la consola** En este caso, el administrador de CA usa AWS Resource Access Manager (AWS RAM) para compartir el acceso a la CA con otra AWS cuenta, lo que permite a esa cuenta emitir certificados ACM administrados. El diagrama muestra que AWS RAM puede compartir la CA directamente con la cuenta, o indirectamente a través de un AWS Organizations ID del que la cuenta es miembro. ![\[Emisión de cuentas cruzadas con la consola\]](http://docs.aws.amazon.com/es_es/privateca/latest/userguide/images/ca_access_2_accounts_console.png) Una vez que RAM comparte un recurso AWS Organizations, el destinatario principal debe aceptar el recurso para que surta efecto. El destinatario puede configurarse AWS Organizations para aceptar automáticamente las acciones ofrecidas. **nota** La cuenta del destinatario es responsable de configurar la renovación automática en ACM. Por lo general, la primera vez que se utiliza una CA compartida, ACM instala una función vinculada a un servicio que le permite realizar llamadas de certificado desatendidas en Autoridad de certificación privada de AWS. Si esto no funciona (normalmente debido a la falta de un permiso), los certificados de la CA no se renuevan automáticamente. Solo el usuario de ACM puede resolver el problema, no el administrador de la CA. Para obtener más información, consulte [Utilización de un rol asociado a servicios (SLR) con ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html). **Caso multicuenta 2: emisión de certificados administrados y no administrados mediante la API o la CLI** Este segundo caso demuestra las opciones de compartición y emisión que son posibles mediante la Autoridad de certificación privada de AWS API AWS Certificate Manager and. Todas estas operaciones también se pueden realizar mediante los AWS CLI comandos correspondientes. ![\[Emisión multicuenta mediante el APIs\]](http://docs.aws.amazon.com/es_es/privateca/latest/userguide/images/ca_access_2_accounts_api_options.png) Como las operaciones de la API se utilizan directamente en este ejemplo, el emisor del certificado puede elegir entre dos operaciones de API para emitir un certificado. La acción de la API de la PCA `IssueCertificate` da como resultado un certificado no administrado que no se renovará automáticamente y que deberá exportarse e instalarse manualmente. La acción de la API de ACM [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)da como resultado un certificado gestionado que se puede instalar fácilmente en los servicios integrados de ACM y se renueva automáticamente. **nota** La cuenta del destinatario es responsable de configurar la renovación automática en ACM. Por lo general, la primera vez que se utiliza una CA compartida, ACM instala una función vinculada a un servicio que le permite realizar llamadas de certificado desatendidas en Autoridad de certificación privada de AWS. Si esto no funciona (normalmente debido a la falta de un permiso), los certificados de la CA no se renovarán automáticamente y solo el usuario de ACM podrá resolver el problema, no el administrador de la CA. Para obtener más información, consulte [Utilización de un rol asociado a servicios (SLR) con ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html).