Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Contrôler l'accès à l'autorité de certification privée
<a name="granting-ca-access"></a>

Tout utilisateur disposant des autorisations nécessaires sur une autorité de certification privée Autorité de certification privée AWS peut utiliser cette autorité de certification pour signer d'autres certificats. Le propriétaire de l'autorité de certification peut délivrer des certificats ou déléguer les autorisations requises pour l'émission de certificats à un utilisateur Gestion des identités et des accès AWS (IAM) résidant dans le même Compte AWSétablissement. Un utilisateur résidant sur un autre AWS compte peut également émettre des certificats s'il est autorisé par le propriétaire de l'autorité de certification par le biais d'une politique [basée sur les ressources](pca-rbp.md).

Les utilisateurs autorisés, qu'ils soient titulaires d'un compte unique ou multicompte, peuvent utiliser Autorité de certification privée AWS nos AWS Certificate Manager ressources lorsqu'ils émettent des certificats. Les certificats émis à partir de l' Autorité de certification privée AWS [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API ou de la commande [issue-certificate CLI](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) ne sont pas gérés. Ces certificats nécessitent une installation manuelle sur les appareils cibles et un renouvellement manuel lorsqu'ils expirent. Les certificats émis à partir de la console ACM, de l'[RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)API ACM ou de la commande CLI [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) sont gérés. Ces certificats peuvent facilement être installés dans les services intégrés à ACM. Si l'administrateur de l'autorité de certification l'autorise et que le compte de l'émetteur dispose d'un [rôle lié au service](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html) pour ACM, les certificats gérés sont renouvelés automatiquement à leur expiration.

**Topics**
+ [Création d'autorisations de compte unique pour un utilisateur IAM](assign-permissions.md)
+ [Joindre une politique d'accès entre comptes](pca-ram.md)

# Création d'autorisations de compte unique pour un utilisateur IAM
<a name="assign-permissions"></a>

Lorsque l'administrateur de l'autorité de certification (c'est-à-dire le propriétaire de l'autorité de certification) et l'émetteur du certificat résident dans un seul AWS compte, la [meilleure pratique consiste](ca-best-practices.md) à séparer les rôles d'émetteur et d'administrateur en créant un utilisateur Gestion des identités et des accès AWS (IAM) doté d'autorisations limitées. Pour plus d'informations sur l'utilisation d'IAM avec Autorité de certification privée AWS, ainsi que des exemples d'autorisations, consultez[Identity and Access Management (IAM) pour AWS Autorité de certification privée](security-iam.md).

**Cas de compte unique 1 : émission d'un certificat non géré**  
Dans ce cas, le propriétaire du compte crée une autorité de certification privée, puis un utilisateur IAM autorisé à émettre des certificats signés par l'autorité de certification privée. L'utilisateur IAM émet un certificat en appelant l' Autorité de certification privée AWS `IssueCertificate`API.

![\[Émission d'un certificat non géré\]](http://docs.aws.amazon.com/fr_fr/privateca/latest/userguide/images/ca_access_1_account_pca_api.png)


Les certificats émis de cette manière ne sont pas gérés, ce qui signifie qu'un administrateur doit les exporter et les installer sur les appareils sur lesquels ils sont destinés à être utilisés. Ils doivent également être renouvelés manuellement lorsqu'ils expirent. L'émission d'un certificat à l'aide de cette API nécessite une demande de signature de certificat (CSR) et une paire de clés générées en dehors d' Autorité de certification privée AWS [OpenSSL](https://www.openssl.org/) ou d'un programme similaire. Pour plus d'informations, consultez la `IssueCertificate`documentation [https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html).

**Cas de compte unique 2 : émission d'un certificat géré via ACM**  
Ce second cas concerne des opérations d'API provenant à la fois d'ACM et de PCA. Le propriétaire du compte crée un utilisateur CA et IAM privé comme auparavant. Le titulaire du compte [autorise](create-CA.md#PcaCreateAcmPerms) ensuite le principal du service ACM à renouveler automatiquement tous les certificats signés par cette autorité de certification. L'utilisateur IAM émet à nouveau le certificat, mais cette fois en appelant l'`RequestCertificate`API ACM, qui gère la CSR et la génération de clés. Lorsque le certificat expire, ACM automatise le processus de renouvellement.

![\[Émission d'un certificat géré\]](http://docs.aws.amazon.com/fr_fr/privateca/latest/userguide/images/ca_access_1_account_acm_api.png)


Le titulaire du compte a la possibilité d'accorder une autorisation de renouvellement via la console de gestion pendant ou après la création de l'autorité de certification ou à l'aide de l'`CreatePermission`API PCA. Les certificats gérés créés à partir de ce flux de travail peuvent être utilisés avec AWS des services intégrés à ACM.

La section suivante décrit les procédures d'octroi des autorisations de renouvellement.

## Attribuer des autorisations de renouvellement de certificat à ACM
<a name="PcaPermissions"></a>

Grâce au [renouvellement géré](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) AWS Certificate Manager intégré (ACM), vous pouvez automatiser le processus de renouvellement des certificats publics et privés. Pour qu'ACM renouvelle automatiquement les certificats générés par une autorité de certification privée, le principal du service ACM doit recevoir toutes les autorisations possibles de la part de *l'autorité de certification elle-même*. Si ces autorisations de renouvellement ne sont pas présentes pour ACM, le propriétaire de l'autorité de certification (ou un représentant autorisé) doit réémettre manuellement chaque certificat privé à son expiration.

**Important**  
Ces procédures d'attribution des autorisations de renouvellement s'appliquent uniquement lorsque le propriétaire de l'autorité de certification et l'émetteur du certificat résident sur le même AWS compte. Pour les scénarios entre comptes, voir[Joindre une politique d'accès entre comptes](pca-ram.md).

Les autorisations de renouvellement peuvent être déléguées lors de la [création de l'autorité de certification privée](create-CA.md) ou modifiées à tout moment, tant que l'état de l'autorité de certification est `ACTIVE`.

Vous pouvez gérer les autorisations d'une autorité de certification privée à partir de la [console Autorité de certification privée AWS](https://console.aws.amazon.com/acm-pca), de l'[AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/reference/) ou de l'[API Autorité de certification privée AWS](https://docs.aws.amazon.com/privateca/latest/APIReference/) :

**Pour attribuer des autorisations CA privées à ACM (console)**

1. Connectez-vous à votre AWS compte et ouvrez la Autorité de certification privée AWS console à la [https://console.aws.amazon.com/acm-pca/maison](https://console.aws.amazon.com/acm-pca/home).

1. Sur la **page Autorités de certification privées**, choisissez votre autorité de certification privée dans la liste.

1. Choisissez **Actions**, puis **Configurez les autorisations CA**.

1. Sélectionnez **Autoriser l'accès à ACM pour renouveler les certificats demandés par ce compte**.

1. Choisissez **Enregistrer**.

**Pour gérer les autorisations ACM dans Autorité de certification privée AWS ()AWS CLI**  
Utilisez la commande [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) pour attribuer des autorisations à ACM. Vous devez attribuer les autorisations nécessaires (`IssueCertificate``GetCertificate`, et`ListPermissions`) pour qu'ACM renouvelle automatiquement vos certificats.

```
$ aws acm-pca create-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --actions IssueCertificate GetCertificate ListPermissions \
     --principal acm.amazonaws.com
```

Utilisez la commande [list-permissions](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/list-permissions.html) pour répertorier les autorisations déléguées par une autorité de certification.

```
$ aws acm-pca list-permissions \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID
```

Utilisez la commande [delete-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-permission.html) pour révoquer les autorisations attribuées par une autorité de certification à un AWS principal de service.

```
$ aws acm-pca delete-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --principal acm.amazonaws.com
```

# Joindre une politique d'accès entre comptes
<a name="pca-ram"></a>

Lorsque l'administrateur de l'autorité de certification et l'émetteur du certificat résident dans des AWS comptes différents, l'administrateur de l'autorité de certification doit partager l'accès à l'autorité de certification. Pour ce faire, une politique basée sur les ressources est attachée à l'autorité de certification. La politique accorde des autorisations d'émission à un principal spécifique, qui peut être un propriétaire de AWS compte, un utilisateur IAM, un AWS Organizations identifiant ou un identifiant d'unité organisationnelle. 

Un administrateur de l'autorité de certification peut associer et gérer des politiques de la manière suivante :
+ Dans la console de gestion, en utilisant AWS Resource Access Manager (RAM), qui est une méthode standard pour partager AWS des ressources entre comptes. Lorsque vous partagez une ressource CA AWS RAM avec un mandant d'un autre compte, la politique basée sur les ressources requise est automatiquement attachée à l'AC. Pour plus d'informations sur la RAM, consultez le [guide de AWS RAM l'utilisateur](https://docs.aws.amazon.com/ram/latest/userguide/).
**Note**  
Vous pouvez facilement ouvrir la console RAM en choisissant une autorité de certification, puis en choisissant **Actions**, **Gérer les partages de ressources**.
+ Programmatiquement, en utilisant le PCA APIs [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html), et [GetPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html). [DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html)
+ [Manuellement, en utilisant les commandes PCA [put-policy, get-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html)[et delete-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html) dans le.](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html) AWS CLI

Seule la méthode console nécessite un accès à la RAM.

**Cas 1 entre comptes : émission d'un certificat géré depuis la console**  
Dans ce cas, l'administrateur de l'autorité de certification utilise AWS Resource Access Manager (AWS RAM) pour partager l'accès de l'autorité de certification avec un autre AWS compte, ce qui permet à ce compte d'émettre des certificats ACM gérés. Le schéma montre qu'il est AWS RAM possible de partager le CA directement avec le compte, ou indirectement par le biais d'un AWS Organizations identifiant dont le compte est membre.

![\[Émission entre comptes avec la console\]](http://docs.aws.amazon.com/fr_fr/privateca/latest/userguide/images/ca_access_2_accounts_console.png)


Une fois que la RAM a partagé une ressource AWS Organizations, le principal destinataire doit accepter la ressource pour qu'elle prenne effet. Le destinataire peut configurer AWS Organizations pour accepter automatiquement les actions proposées.

**Note**  
Le compte du destinataire est responsable de la configuration du renouvellement automatique dans ACM. Généralement, lors de la première utilisation d'une autorité de certification partagée, ACM installe un rôle lié à un service qui lui permet de passer des appels de certificat sans surveillance. Autorité de certification privée AWS En cas d'échec (généralement en raison d'une autorisation manquante), les certificats de l'autorité de certification ne sont pas renouvelés automatiquement. Seul l'utilisateur d'ACM peut résoudre le problème, pas l'administrateur de l'autorité de certification. Pour plus d'informations, consultez la section [Utilisation d'un rôle lié à un service (SLR) avec ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html).

**Cas 2 entre comptes : émission de certificats gérés et non gérés à l'aide de l'API ou de la CLI**  
Ce second cas illustre les options de partage et d'émission possibles à l'aide de l' Autorité de certification privée AWS API AWS Certificate Manager and. Toutes ces opérations peuvent également être effectuées à l'aide des AWS CLI commandes correspondantes.

![\[Émission entre comptes à l'aide du APIs\]](http://docs.aws.amazon.com/fr_fr/privateca/latest/userguide/images/ca_access_2_accounts_api_options.png)


Dans la mesure où les opérations d'API sont utilisées directement dans cet exemple, l'émetteur du certificat a le choix entre deux opérations d'API pour émettre un certificat. L'action de l'API PCA `IssueCertificate` génère un certificat non géré qui ne sera pas automatiquement renouvelé et qui doit être exporté et installé manuellement. L'action de l'API ACM permet d'[RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)obtenir un certificat géré qui peut être facilement installé sur les services intégrés d'ACM et qui se renouvelle automatiquement. 

**Note**  
Le compte du destinataire est responsable de la configuration du renouvellement automatique dans ACM. Généralement, lors de la première utilisation d'une autorité de certification partagée, ACM installe un rôle lié à un service qui lui permet de passer des appels de certificat sans surveillance. Autorité de certification privée AWS En cas d'échec (généralement en raison d'une autorisation manquante), les certificats de l'autorité de certification ne seront pas renouvelés automatiquement et seul l'utilisateur d'ACM pourra résoudre le problème, et non l'administrateur de l'autorité de certification. Pour plus d'informations, consultez la section [Utilisation d'un rôle lié à un service (SLR) avec ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html).