Condições de uso do CA Privada da AWS para assinar certificados privados do ACM

Conta única: a CA signatária e o certificado do AWS Certificate Manager (ACM) que é emitido residem na mesma conta da AWS.

Para ativar a emissão e as renovações de uma única conta, o administrador da CA privada da AWS deve conceder permissão à entidade principal do serviço do ACM para criar, recuperar e listar certificados. Isso é feito por meio da ação CreatePermission da API CA privada da AWS ou via comando create-permission da AWS CLI. O proprietário da conta atribui essas permissões a um usuário, grupo ou perfil do IAM responsável pela emissão dos certificados.

Intercontas: a AC signatária e o certificado do ACM que é emitido residem em contas diferentes da AWS e o acesso à CA foi concedido à conta onde o certificado reside.

Para habilitar a emissão e as renovações entre contas, o administrador da CA privada da AWS deve anexar uma política baseada em recursos à CA usando a ação PutPolicy da API CA privada da AWS ou o comando put-policy da AWS CLI. A política especifica as entidades primárias em outras contas que têm permissão de acesso limitado à CA. Para obter mais informações, consulte Uso de uma política baseada em recursos com o ACM Private CA..

O cenário intercontas também exige que o ACM configure uma função vinculada ao serviço (SLR) para interagir com a política de PCA como entidade primária. O ACM cria a SLR automaticamente ao emitir o primeiro certificado.

O ACM pode alertar você de que não é possível determinar se existe uma SLR na sua conta. Se a necessária permissão do iam:GetRole já foi concedida à SLR do ACM para sua conta, o alerta não será repetido depois que a SLR for criada. Se ocorrer novamente, você ou o administrador da conta podem precisar conceder a permissão do iam:GetRole ao ACM ou associar sua conta à política gerenciada pelo ACM AWSCertificateManagerFullAccess.

Para obter mais informações, consulte usando uma função vinculada ao serviço com o ACM.