AWS Private CA를 사용하여 ACM 프라이빗 인증서에 서명하는 조건

단일 계정: 서명하는 CA와 발급된 AWS Certificate Manager(ACM) 인증서가 동일한 AWS 계정에 상주합니다.

단일 계정 발급 및 갱신을 사용하려면, AWS Private CA 관리자가 ACM 서비스 보안 주체에 인증서를 생성, 검색 및 나열할 수 있는 권한을 부여해야 합니다. AWS Private CA API 작업 CreatePermission 또는 AWS CLI 명령 create-permission을 사용하여 수행합니다. 계정 소유자는 인증서 발급을 담당하는 IAM 사용자, 그룹 또는 역할에 이러한 권한을 할당합니다.

계정 간: 서명한 CA와 발급된 ACM 인증서가 서로 다른 AWS 계정에 상주하며, 인증서가 상주하는 계정에 CA에 대한 액세스 권한이 부여됩니다.

교차 계정 발급 및 갱신을 활성화하려면 AWS Private CA 관리자가 AWS Private CA API 작업 PutPolicy 또는 AWS CLI 명령 put-policy를 사용하여 리소스 기반 정책을 CA에 연결해야 합니다. 이 정책은 CA에 대해 제한된 액세스가 허용되는 다른 계정의 보안 주체를 지정합니다. 자세한 내용은 ACM Private CA에서 리소스 기반 정책 사용을 참조하세요.

계정 간 시나리오에서는 ACM이 PCA 정책과 보안 주체로서 상호 작용하는 서비스 연결 역할(SLR)을 설정해야 합니다. ACM은 첫 번째 인증서를 발급하는 동안 SLR을 자동으로 생성합니다.

이 경우 ACM은 계정에 SLR이 있는지 여부를 확인할 수 없다는 알림을 표시할 수 있습니다. 필요한 iam:GetRole 권한이 이미 계정의 ACM SLR에 부여된 경우, SLR이 생성된 후 알림이 다시 표시되지 않습니다. 알림이 다시 표시될 경우 사용자 또는 계정 관리자가 ACM에 iam:GetRole 권한을 부여하거나 계정을 ACM 관리형 정책 AWSCertificateManagerFullAccess에 연결해야 할 수 있습니다.

자세한 내용은 ACM에서 서비스 연결 역할 사용을 참조하세요.