Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kontrol akses ke CA pribadi
<a name="granting-ca-access"></a>

Setiap pengguna dengan izin yang diperlukan pada CA pribadi AWS Private CA dapat menggunakan CA tersebut untuk menandatangani sertifikat lain. Pemilik CA dapat menerbitkan sertifikat atau mendelegasikan izin yang diperlukan untuk menerbitkan sertifikat kepada pengguna AWS Identity and Access Management (IAM) yang berada di dalamnya. Akun AWS Pengguna yang berada di AWS akun lain juga dapat mengeluarkan sertifikat jika diizinkan oleh pemilik CA melalui kebijakan berbasis [sumber daya](pca-rbp.md).

Pengguna yang berwenang, baik akun tunggal atau lintas akun, dapat menggunakan AWS Private CA atau AWS Certificate Manager sumber daya saat mengeluarkan sertifikat. Sertifikat yang dikeluarkan dari AWS Private CA [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API atau perintah [CLI issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) tidak dikelola. Sertifikat tersebut memerlukan instalasi manual pada perangkat target dan pembaruan manual ketika mereka kedaluwarsa. Sertifikat yang dikeluarkan dari konsol ACM, ACM [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)API, atau perintah CLI [request-certificate dikelola](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html). Sertifikat semacam itu dapat dengan mudah dipasang di layanan yang terintegrasi dengan ACM. Jika administrator CA mengizinkannya dan akun penerbit menyediakan [peran tertaut layanan](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html) untuk ACM, sertifikat terkelola diperbarui secara otomatis saat kedaluwarsa.

**Topics**
+ [Membuat izin akun tunggal untuk pengguna IAM](assign-permissions.md)
+ [Lampirkan kebijakan untuk akses lintas akun](pca-ram.md)

# Membuat izin akun tunggal untuk pengguna IAM
<a name="assign-permissions"></a>

Ketika administrator CA (yaitu, pemilik CA) dan penerbit sertifikat berada dalam satu AWS akun, [praktik terbaik](ca-best-practices.md) adalah memisahkan peran penerbit dan administrator dengan membuat pengguna AWS Identity and Access Management (IAM) dengan izin terbatas. Untuk informasi tentang menggunakan IAM dengan AWS Private CA, bersama dengan izin contoh, lihat. [Identity and Access Management (IAM) untuk AWS Private Certificate Authority](security-iam.md)

**Kasus akun tunggal 1: Menerbitkan sertifikat yang tidak dikelola**  
Dalam hal ini, pemilik akun membuat CA pribadi dan kemudian membuat pengguna IAM dengan izin untuk mengeluarkan sertifikat yang ditandatangani oleh CA pribadi. Pengguna IAM mengeluarkan sertifikat dengan memanggil AWS Private CA `IssueCertificate` API.

![\[Menerbitkan sertifikat tidak terkelola\]](http://docs.aws.amazon.com/id_id/privateca/latest/userguide/images/ca_access_1_account_pca_api.png)


Sertifikat yang diterbitkan dengan cara ini tidak dikelola, yang berarti bahwa administrator harus mengekspornya dan menginstalnya di perangkat yang akan digunakan. Sertifikat tersebut juga harus diperbarui secara manual saat kedaluwarsa. Menerbitkan sertifikat menggunakan API ini memerlukan permintaan penandatanganan sertifikat (CSR) dan key pair yang dihasilkan di luar oleh AWS Private CA OpenSSL atau program [serupa](https://www.openssl.org/). Untuk informasi selengkapnya, lihat `IssueCertificate`dokumentasi [https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html).

**Kasus akun tunggal 2: Menerbitkan sertifikat terkelola melalui ACM**  
Kasus kedua ini melibatkan operasi API dari ACM dan PCA. Pemilik akun membuat pengguna CA dan IAM pribadi seperti sebelumnya. Pemilik akun kemudian [memberikan izin](create-CA.md#PcaCreateAcmPerms) kepada kepala layanan ACM untuk memperbarui secara otomatis sertifikat apa pun yang ditandatangani oleh CA ini. Pengguna IAM kembali mengeluarkan sertifikat, tetapi kali ini dengan memanggil ACM `RequestCertificate` API, yang menangani CSR dan pembuatan kunci. Ketika sertifikat kedaluwarsa, ACM mengotomatiskan alur kerja perpanjangan.

![\[Menerbitkan sertifikat terkelola\]](http://docs.aws.amazon.com/id_id/privateca/latest/userguide/images/ca_access_1_account_acm_api.png)


Pemilik akun memiliki opsi untuk memberikan izin perpanjangan melalui konsol manajemen selama atau setelah pembuatan CA atau menggunakan `CreatePermission` PCA API. Sertifikat terkelola yang dibuat dari alur kerja ini tersedia untuk digunakan dengan AWS layanan yang terintegrasi dengan ACM.

Bagian berikut berisi prosedur untuk memberikan izin perpanjangan.

## Menetapkan izin perpanjangan sertifikat untuk ACM
<a name="PcaPermissions"></a>

Dengan [perpanjangan terkelola](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) di AWS Certificate Manager (ACM), Anda dapat mengotomatiskan proses perpanjangan sertifikat untuk sertifikat publik dan swasta. Agar ACM secara otomatis memperbarui sertifikat yang dihasilkan oleh CA privat, entitas keamanan layanan ACM harus diberikan semua kemungkinan izin *oleh CA itu sendiri*. Jika izin perpanjangan ini tidak tersedia untuk ACM, pemilik CA (atau perwakilan yang sah) harus menerbitkan ulang secara manual setiap sertifikat privat saat kedaluwarsa.

**penting**  
Prosedur untuk menetapkan izin perpanjangan ini hanya berlaku ketika pemilik CA dan penerbit sertifikat berada di akun yang sama. AWS Untuk skenario lintas akun, lihat [Lampirkan kebijakan untuk akses lintas akun](pca-ram.md).

Izin perpanjangan dapat didelegasikan selama [pembuatan CA privat](create-CA.md) atau diubah kapan saja setelah selama CA berada di negara bagian `ACTIVE`.

Anda dapat mengelola izin CA pribadi dari [AWS Private CA Konsol](https://console.aws.amazon.com/acm-pca), [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/reference/), atau [AWS Private CA API](https://docs.aws.amazon.com/privateca/latest/APIReference/):

**Untuk menetapkan izin CA privat untuk ACM (konsol)**

1. Masuk ke AWS akun Anda dan buka AWS Private CA konsol di [https://console.aws.amazon.com/acm-pca/rumah](https://console.aws.amazon.com/acm-pca/home).

1. Pada **halaman Otoritas sertifikat pribadi**, pilih CA pribadi Anda dari daftar.

1. Pilih **Tindakan**, **Konfigurasikan izin CA**.

1. Pilih **Otorisasi akses ACM untuk memperbarui sertifikat yang diminta oleh** akun ini.

1. Pilih **Simpan**.

**Untuk mengelola izin ACM di AWS Private CA ()AWS CLI**  
Gunakan perintah [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) untuk menentapkan izin ke ACM. Anda harus menetapkan izin yang diperlukan (`IssueCertificate`, `GetCertificate`, dan `ListPermissions`) agar ACM otomatis memperpanjang sertifikat Anda.

```
$ aws acm-pca create-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --actions IssueCertificate GetCertificate ListPermissions \
     --principal acm.amazonaws.com
```

Gunakan perintah [list-permissions](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/list-permissions.html) untuk membuat daftar izin yang didelegasikan oleh CA.

```
$ aws acm-pca list-permissions \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID
```

Gunakan perintah [delete-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-permission.html) untuk mencabut izin yang ditetapkan oleh CA ke kepala layanan. AWS 

```
$ aws acm-pca delete-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --principal acm.amazonaws.com
```

# Lampirkan kebijakan untuk akses lintas akun
<a name="pca-ram"></a>

Saat administrator CA dan penerbit sertifikat berada d akun AWS yang berbeda, administrator CA harus berbagi akses CA. Hal ini dilakukan dengan melampirkan kebijakan berbasis sumber daya ke CA. Kebijakan ini memberikan izin penerbitan kepada prinsipal tertentu, yang dapat berupa pemilik AWS akun, pengguna IAM, AWS Organizations ID, atau ID unit organisasi. 

Administrator CA dapat melampirkan dan mengelola kebijakan dengan cara berikut:
+ Di konsol manajemen, menggunakan AWS Resource Access Manager (RAM), yang merupakan metode standar untuk berbagi AWS sumber daya di seluruh akun. Saat Anda membagikan sumber daya CA AWS RAM dengan prinsipal di akun lain, kebijakan berbasis sumber daya yang diperlukan akan dilampirkan ke CA secara otomatis. Untuk informasi lebih lanjut tentang RAM, lihat [Panduan Pengguna AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/).
**catatan**  
Anda dapat dengan mudah membuka konsol RAM dengan memilih CA dan kemudian memilih **Tindakan**, **Kelola berbagi sumber daya**.
+ Secara terprogram, menggunakan PCA APIs [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html),, [GetPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html)dan. [DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html)
+ Secara manual, menggunakan perintah PCA [put-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html), [get-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html), dan [delete-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html) di AWS CLI.

Hanya metode konsol yang memerlukan akses RAM.

**Kasus lintas akun 1: Menerbitkan sertifikat terkelola dari konsol**  
Dalam hal ini, administrator CA menggunakan AWS Resource Access Manager (AWS RAM) untuk berbagi akses CA dengan AWS akun lain, yang memungkinkan akun tersebut mengeluarkan sertifikat ACM terkelola. Diagram menunjukkan bahwa AWS RAM dapat berbagi CA secara langsung dengan akun, atau secara tidak langsung melalui AWS Organizations ID di mana akun tersebut adalah anggota.

![\[Penerbitan lintas akun dengan konsol\]](http://docs.aws.amazon.com/id_id/privateca/latest/userguide/images/ca_access_2_accounts_console.png)


Setelah RAM berbagi sumber daya AWS Organizations, prinsipal penerima harus menerima sumber daya agar dapat diterapkan. Penerima dapat mengonfigurasi AWS Organizations untuk menerima saham yang ditawarkan secara otomatis.

**catatan**  
Akun penerima bertanggung jawab untuk mengonfigurasi autorenewal di ACM. Biasanya, pada kesempatan pertama CA bersama digunakan, ACM menginstal peran terkait layanan yang memungkinkannya melakukan panggilan sertifikat tanpa pengawasan. AWS Private CA Jika ini gagal (biasanya karena izin yang hilang), sertifikat dari CA tidak diperbarui secara otomatis. Hanya pengguna ACM yang dapat menyelesaikan masalah, bukan administrator CA. Untuk informasi selengkapnya, lihat [Menggunakan Peran Tertaut Layanan (SLR) dengan ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html).

**Kasus lintas akun 2: Menerbitkan sertifikat terkelola dan tidak terkelola menggunakan API atau CLI**  
Kasus kedua ini menunjukkan opsi berbagi dan penerbitan yang dimungkinkan menggunakan API AWS Certificate Manager dan AWS Private CA . Semua operasi ini juga dapat dilakukan dengan menggunakan AWS CLI perintah yang sesuai.

![\[Penerbitan lintas akun menggunakan APIs\]](http://docs.aws.amazon.com/id_id/privateca/latest/userguide/images/ca_access_2_accounts_api_options.png)


Karena operasi API digunakan secara langsung dalam contoh ini, penerbit sertifikat memiliki pilihan dua operasi API untuk mengeluarkan sertifikat. Tindakan API PCA `IssueCertificate` menghasilkan sertifikat tidak terkelola yang tidak akan diperpanjang secara otomatis dan harus diekspor dan diinstal secara manual. Tindakan ACM API [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)menghasilkan sertifikat terkelola yang dapat dengan mudah diinstal pada layanan terintegrasi ACM dan diperbarui secara otomatis. 

**catatan**  
Akun penerima bertanggung jawab untuk mengkonfigurasi perpanjangan otomatis di ACM. Biasanya, pada kesempatan pertama CA bersama digunakan, ACM menginstal peran terkait layanan yang memungkinkannya melakukan panggilan sertifikat tanpa pengawasan. AWS Private CA Jika ini gagal (biasanya karena izin hilang), sertifikat dari CA tidak akan memperbarui secara otomatis, dan hanya pengguna ACM yang dapat menyelesaikan masalah tersebut, bukan administrator CA. Untuk informasi selengkapnya, lihat [Menggunakan Peran Tertaut Layanan (SLR) dengan ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html).