Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Controlla l'accesso alla CA privata
<a name="granting-ca-access"></a>

Qualsiasi utente con le autorizzazioni necessarie su una CA privata CA privata AWS può utilizzare tale CA per firmare altri certificati. Il proprietario della CA può emettere certificati o delegare le autorizzazioni necessarie per l'emissione di certificati a un utente AWS Identity and Access Management (IAM) che risiede nella stessa. Account AWS[Un utente che risiede in un AWS account diverso può anche emettere certificati se autorizzato dal proprietario della CA tramite una politica basata sulle risorse.](pca-rbp.md)

Gli utenti autorizzati, indipendentemente dal fatto che si tratti di account singoli o multiaccount, possono utilizzare CA privata AWS le nostre risorse per l'emissione dei certificati. AWS Certificate Manager I certificati emessi dall' CA privata AWS [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API o dal comando [CLI issue-certificate non sono](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) gestiti. Tali certificati richiedono l'installazione manuale sui dispositivi di destinazione e il rinnovo manuale alla scadenza. I certificati emessi dalla console ACM, dall'[RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)API ACM o dal comando CLI [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) vengono gestiti. Tali certificati possono essere facilmente installati in servizi integrati con ACM. Se l'amministratore della CA lo consente e l'account dell'emittente ha un [ruolo collegato al servizio](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html) per ACM, i certificati gestiti vengono rinnovati automaticamente alla scadenza.

**Topics**
+ [Crea autorizzazioni per account singolo per un utente IAM](assign-permissions.md)
+ [Allega una politica per l'accesso tra account diversi](pca-ram.md)

# Crea autorizzazioni per account singolo per un utente IAM
<a name="assign-permissions"></a>

Quando l'amministratore della CA (ovvero il proprietario della CA) e l'emittente del certificato risiedono in un unico AWS account, è [consigliabile](ca-best-practices.md) separare i ruoli di emittente e amministratore creando un utente AWS Identity and Access Management (IAM) con autorizzazioni limitate. Per informazioni sull'utilizzo di IAM con CA privata AWS, oltre ad esempi di autorizzazioni, consulta. [Identity and Access Management (IAM) per AWS Autorità di certificazione privata](security-iam.md)

**Caso 1 con account singolo: emissione di un certificato non gestito**  
In questo caso, il proprietario dell'account crea una CA privata e quindi crea un utente IAM con l'autorizzazione a emettere certificati firmati dalla CA privata. L'utente IAM emette un certificato chiamando l' CA privata AWS `IssueCertificate`API.

![\[Emissione di un certificato non gestito\]](http://docs.aws.amazon.com/it_it/privateca/latest/userguide/images/ca_access_1_account_pca_api.png)


I certificati emessi in questo modo non sono gestiti, il che significa che un amministratore deve esportarli e installarli sui dispositivi in cui sono destinati a essere utilizzati. Inoltre, devono essere rinnovati manualmente quando scadono. L'emissione di un certificato utilizzando questa API richiede una richiesta di firma del certificato (CSR) e una coppia di chiavi generati all'esterno da CA privata AWS [OpenSSL](https://www.openssl.org/) o da un programma simile. [Per ulteriori informazioni, consulta la documentazione. `IssueCertificate`](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)

**Caso 2 con account singolo: emissione di un certificato gestito tramite ACM**  
Questo secondo caso riguarda le operazioni API di ACM e PCA. Il proprietario dell'account crea un utente CA e IAM privato come in precedenza. Il proprietario dell'account [concede quindi l'autorizzazione](create-CA.md#PcaCreateAcmPerms) al responsabile del servizio ACM per rinnovare automaticamente tutti i certificati firmati da questa CA. L'utente IAM emette nuovamente il certificato, ma questa volta chiamando l'`RequestCertificate`API ACM, che gestisce la CSR e la generazione delle chiavi. Quando il certificato scade, ACM automatizza il flusso di lavoro di rinnovo.

![\[Emissione di un certificato gestito\]](http://docs.aws.amazon.com/it_it/privateca/latest/userguide/images/ca_access_1_account_acm_api.png)


Il proprietario dell'account ha la possibilità di concedere l'autorizzazione al rinnovo tramite la console di gestione durante o dopo la creazione della CA o utilizzando l'API `CreatePermission` PCA. I certificati gestiti creati da questo flusso di lavoro possono essere utilizzati con AWS servizi integrati con ACM.

La sezione seguente contiene le procedure per la concessione delle autorizzazioni di rinnovo.

## Assegna le autorizzazioni per il rinnovo dei certificati ad ACM
<a name="PcaPermissions"></a>

Con [Managed Renewal](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) in AWS Certificate Manager (ACM), puoi automatizzare il processo di rinnovo dei certificati sia per i certificati pubblici che per quelli privati. *Affinché ACM possa rinnovare automaticamente i certificati generati da una CA privata, al responsabile del servizio ACM devono essere concesse tutte le autorizzazioni possibili dalla CA stessa.* Se queste autorizzazioni di rinnovo non sono presenti per ACM, il proprietario della CA (o un rappresentante autorizzato) deve riemettere manualmente ogni certificato privato alla scadenza.

**Importante**  
Queste procedure per l'assegnazione delle autorizzazioni di rinnovo si applicano solo quando il proprietario della CA e l'emittente del certificato risiedono nello stesso account. AWS Per scenari che coinvolgono più account, consulta. [Allega una politica per l'accesso tra account diversi](pca-ram.md)

Le autorizzazioni di rinnovo possono essere delegate durante la [creazione di CA privata](create-CA.md) o modificate in qualsiasi momento dopo tutto il tempo in cui la CA si trova nello stato `ACTIVE`.

Puoi gestire le autorizzazioni CA private dalla [Console CA privata AWS](https://console.aws.amazon.com/acm-pca), dall'[AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/reference/), o dall'[API CA privata AWS](https://docs.aws.amazon.com/privateca/latest/APIReference/):

**Per assegnare autorizzazioni CA private ad ACM (console)**

1. [Accedi al tuo AWS account e apri la CA privata AWS console a casa. https://console.aws.amazon.com/acm-pca/](https://console.aws.amazon.com/acm-pca/home)

1. Nella **pagina Autorità di certificazione private**, scegli la tua CA privata dall'elenco.

1. Scegli **Azioni**, **Configura le autorizzazioni CA**.

1. Seleziona **Autorizza l'accesso ACM per rinnovare i certificati richiesti** da questo account.

1. Scegli **Save** (Salva).

**Per gestire le autorizzazioni ACM in () CA privata AWS AWS CLI**  
Utilizzate il comando [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) per assegnare le autorizzazioni ad ACM. È necessario assegnare le autorizzazioni necessarie (`IssueCertificate``GetCertificate`, e`ListPermissions`) affinché ACM possa rinnovare automaticamente i certificati.

```
$ aws acm-pca create-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --actions IssueCertificate GetCertificate ListPermissions \
     --principal acm.amazonaws.com
```

Utilizza il comando [list-permissions](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/list-permissions.html) per elencare le autorizzazioni delegate da una CA.

```
$ aws acm-pca list-permissions \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID
```

Utilizzate il comando [delete-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-permission.html) per revocare le autorizzazioni assegnate da una CA a un responsabile del servizio. AWS 

```
$ aws acm-pca delete-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --principal acm.amazonaws.com
```

# Allega una politica per l'accesso tra account diversi
<a name="pca-ram"></a>

Quando l'amministratore della CA e l'emittente del certificato risiedono in AWS account diversi, l'amministratore della CA deve condividere l'accesso alla CA. Ciò si ottiene allegando alla CA una policy basata sulle risorse. La policy concede le autorizzazioni di rilascio a un principale specifico, che può essere il proprietario di un AWS account, un utente IAM, un ID o l'ID di un'unità organizzativa. AWS Organizations 

Un amministratore CA può allegare e gestire le policy nei seguenti modi:
+ Nella console di gestione, utilizzando AWS Resource Access Manager (RAM), che è un metodo standard per la condivisione di AWS risorse tra account. Quando si condivide una risorsa CA AWS RAM con un responsabile di un altro account, la politica basata sulle risorse richiesta viene allegata automaticamente alla CA. [Per ulteriori informazioni sulla RAM, consulta la Guida per l'AWS RAM utente.](https://docs.aws.amazon.com/ram/latest/userguide/)
**Nota**  
È possibile aprire facilmente la console RAM scegliendo una CA e quindi scegliendo **Azioni**, **Gestisci condivisioni di risorse**.
+ A livello di programmazione, utilizzando PCA APIs [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html), [GetPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html)e. [DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html)
+ [Manualmente, utilizzando i comandi PCA [put-policy, [get-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html) e delete-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html) in.](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html) AWS CLI

Solo il metodo della console richiede l'accesso alla RAM.

**Caso 1 su più account: emissione di un certificato gestito dalla console**  
In questo caso, l'amministratore della CA utilizza AWS Resource Access Manager (AWS RAM) per condividere l'accesso CA con un altro AWS account, il che consente a tale account di emettere certificati ACM gestiti. Il diagramma mostra che AWS RAM è possibile condividere la CA direttamente con l'account o indirettamente tramite un AWS Organizations ID di cui l'account è membro.

![\[Emissione su più account con la console\]](http://docs.aws.amazon.com/it_it/privateca/latest/userguide/images/ca_access_2_accounts_console.png)


Dopo che RAM ha condiviso una risorsa AWS Organizations, il destinatario principale deve accettare la risorsa affinché questa abbia effetto. Il destinatario può AWS Organizations configurare l'accettazione automatica delle azioni offerte.

**Nota**  
L'account del destinatario è responsabile della configurazione del rinnovo automatico in ACM. In genere, alla prima volta che viene utilizzata una CA condivisa, ACM installa un ruolo collegato al servizio che consente di effettuare chiamate automatiche ai certificati. CA privata AWS Se questa operazione fallisce (di solito a causa di un'autorizzazione mancante), i certificati della CA non vengono rinnovati automaticamente. Solo l'utente ACM può risolvere il problema, non l'amministratore della CA. Per ulteriori informazioni, vedere [Using a Service Linked Role (SLR) con](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html) ACM.

**Caso 2 per più account: emissione di certificati gestiti e non gestiti utilizzando l'API o la CLI**  
Questo secondo caso illustra le opzioni di condivisione ed emissione possibili utilizzando l'API and. AWS Certificate Manager CA privata AWS Tutte queste operazioni possono essere eseguite anche utilizzando i comandi corrispondenti AWS CLI .

![\[Emissione su più conti utilizzando il APIs\]](http://docs.aws.amazon.com/it_it/privateca/latest/userguide/images/ca_access_2_accounts_api_options.png)


Poiché le operazioni API vengono utilizzate direttamente in questo esempio, l'emittente del certificato può scegliere tra due operazioni API per emettere un certificato. L'azione dell'API PCA `IssueCertificate` produce un certificato non gestito che non verrà rinnovato automaticamente e deve essere esportato e installato manualmente. L'azione API ACM [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)produce un certificato gestito che può essere facilmente installato sui servizi integrati ACM e si rinnova automaticamente. 

**Nota**  
L'account del destinatario è responsabile della configurazione del rinnovo automatico in ACM. In genere, alla prima volta che viene utilizzata una CA condivisa, ACM installa un ruolo collegato al servizio che consente di effettuare chiamate automatiche ai certificati. CA privata AWS Se questa operazione fallisce (di solito a causa di un'autorizzazione mancante), i certificati della CA non si rinnoveranno automaticamente e solo l'utente ACM può risolvere il problema, non l'amministratore della CA. Per ulteriori informazioni, vedere [Using a Service Linked Role (SLR)](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html) con ACM.