As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Condições de uso CA Privada da AWS para assinar certificados privados do ACM Você pode usar CA privada da AWS para assinar seus certificados do ACM em um dos dois casos: + **Conta única**: a CA signatária e o certificado do AWS Certificate Manager (ACM) que é emitido residem na mesma conta da AWS . Para ativar a emissão e as renovações de uma única conta, o administrador da CA privada da AWS deve conceder permissão à entidade principal do serviço do ACM para criar, recuperar e listar certificados. Isso é feito usando a ação da CA privada da AWS API [CreatePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreatePermission.html)ou o AWS CLI comando [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html). O proprietário da conta atribui essas permissões a um usuário, grupo ou perfil do IAM responsável pela emissão dos certificados. + **Conta cruzada**: a CA de assinatura e o certificado ACM emitido residem em AWS contas diferentes, e o acesso à CA foi concedido à conta em que o certificado reside. [Para permitir a emissão e renovações entre contas, o CA privada da AWS administrador deve anexar uma política baseada em recursos à CA usando a ação [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html)da CA privada da AWS API ou o comando put-policy. AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html) A política especifica as entidades primárias em outras contas que têm permissão de acesso limitado à CA. Para obter mais informações, consulte [Uso de uma política baseada em recursos com o ACM Private CA.](https://docs.aws.amazon.com/privateca/latest/userguide/pca-rbp.html). O cenário intercontas também exige que o ACM configure uma função vinculada ao serviço (SLR) para interagir com a política de PCA como entidade primária. O ACM cria a SLR automaticamente ao emitir o primeiro certificado. O ACM pode alertar você de que não é possível determinar se existe uma SLR na sua conta. Se a necessária permissão do `iam:GetRole` já foi concedida à SLR do ACM para sua conta, o alerta não será repetido depois que a SLR for criada. Se ocorrer novamente, você ou o administrador da conta podem precisar conceder a permissão do `iam:GetRole` ao ACM ou associar sua conta à política gerenciada pelo ACM `AWSCertificateManagerFullAccess`. Para obter mais informações, consulte [usando uma função vinculada ao serviço com o ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html). **Importante** Seu certificado ACM deve estar ativamente associado a um AWS serviço suportado antes de ser renovado automaticamente. Para obter informações sobre os recursos que o ACM suporta, consulte [Serviços integrados ao ACM](acm-services.md).