Contrôler l'accès à l'autorité de certification privée

Tout utilisateur disposant des autorisations nécessaires sur une autorité de certification privée Autorité de certification privée AWS peut utiliser cette autorité de certification pour signer d'autres certificats. Le propriétaire de l'autorité de certification peut délivrer des certificats ou déléguer les autorisations requises pour l'émission de certificats à un utilisateur Gestion des identités et des accès AWS (IAM) résidant dans le même Compte AWSétablissement. Un utilisateur résidant sur un autre AWS compte peut également émettre des certificats s'il est autorisé par le propriétaire de l'autorité de certification via une politique basée sur les ressources.

Les utilisateurs autorisés, qu'ils soient titulaires d'un compte unique ou multicompte, peuvent utiliser Autorité de certification privée AWS nos AWS Certificate Manager ressources lorsqu'ils émettent des certificats. Les certificats émis par l' Autorité de certification privée AWS IssueCertificateAPI ou la commande issue-certificate CLI ne sont pas gérés. Ces certificats nécessitent une installation manuelle sur les appareils cibles et un renouvellement manuel lorsqu'ils expirent. Les certificats émis par la console ACM, l'RequestCertificateAPI ACM ou la commande CLI request-certificate sont gérés. Ces certificats peuvent facilement être installés dans les services intégrés à ACM. Si l'administrateur de l'autorité de certification l'autorise et que le compte de l'émetteur dispose d'un rôle lié au service pour ACM, les certificats gérés sont renouvelés automatiquement à leur expiration.