As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Controle o acesso à CA privada
<a name="granting-ca-access"></a>

Qualquer usuário com as permissões necessárias em uma CA privada CA privada da AWS pode usar essa CA para assinar outros certificados. O proprietário da CA pode emitir certificados ou delegar as permissões necessárias para a emissão de certificados a um usuário AWS Identity and Access Management (IAM) que resida na mesma. Conta da AWS Um usuário que reside em uma AWS conta diferente também pode emitir certificados se autorizado pelo proprietário da CA por meio de uma política baseada em [recursos](pca-rbp.md).

Usuários autorizados, sejam eles de conta única ou de contas cruzadas, podem usar nossos CA privada da AWS AWS Certificate Manager recursos ao emitir certificados. Os certificados emitidos pela CA privada da AWS [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)API ou pelo comando da [CLI issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) não são gerenciados. Ao expirarem, esses certificados exigem instalação manual nos dispositivos de destino e renovação manual. Os certificados emitidos pelo console do ACM, pela [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)API do ACM ou pelo comando da CLI [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) são gerenciados. Esses certificados podem ser facilmente instalados em serviços integrados com o ACM. Se o administrador da CA permitir e a conta do emissor tiver um [perfil vinculado a serviço](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html) para o ACM, os certificados gerenciados serão renovados automaticamente quando expirarem.

**Topics**
+ [Criar permissões de conta única para um usuário do IAM](assign-permissions.md)
+ [Anexe uma política para acesso entre contas](pca-ram.md)

# Criar permissões de conta única para um usuário do IAM
<a name="assign-permissions"></a>

Quando o administrador da CA (ou seja, o proprietário da CA) e o emissor do certificado residem em uma única AWS conta, a [melhor prática](ca-best-practices.md) é separar as funções de emissor e administrador criando um usuário AWS Identity and Access Management (IAM) com permissões limitadas. Para obter informações sobre como usar o IAM com CA privada da AWS, junto com exemplos de permissões, consulte[Identity and Access Management (IAM) para Autoridade de Certificação Privada da AWS](security-iam.md).

**Caso 1 de conta única: emissão de certificado não gerenciado**  
Nesse caso, o proprietário da conta cria uma CA privada e, em seguida, cria um usuário do IAM com permissão para emitir certificados assinados pela CA privada. O usuário do IAM emite um certificado chamando a CA privada da AWS `IssueCertificate` API.

![\[Emitir um certificado não gerenciado\]](http://docs.aws.amazon.com/pt_br/privateca/latest/userguide/images/ca_access_1_account_pca_api.png)


Os certificados emitidos dessa maneira não são gerenciados, o que significa que um administrador deve exportá-los e instalá-los nos dispositivos em que devem ser usados. Eles também devem ser renovados manualmente ao expirarem. A emissão de um certificado usando essa API requer uma solicitação de assinatura de certificado (CSR) e um par de chaves gerados externamente pelo CA privada da AWS [OpenSSL](https://www.openssl.org/) ou por um programa similar. Para obter mais informações, consulte a [documentação](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) do `IssueCertificate`.

**Caso 2 de conta única: emissão de certificado gerenciado por meio do ACM**  
Esse segundo caso envolve operações de API do ACM e do PCA. O proprietário da conta cria uma CA privada e um usuário do IAM como antes. Em seguida, o proprietário da conta [concede permissão](create-CA.md#PcaCreateAcmPerms) à entidade principal de serviço do ACM para renovar automaticamente todos os certificados assinados por essa CA. O usuário do IAM emite novamente o certificado, mas dessa vez chamando a API `RequestCertificate` do ACM, que lida com a geração de CSRs e de chaves. Quando o certificado expirar, o ACM automatizará o fluxo de trabalho de renovação.

![\[Emitir um certificado gerenciado\]](http://docs.aws.amazon.com/pt_br/privateca/latest/userguide/images/ca_access_1_account_acm_api.png)


O proprietário da conta tem a opção de conceder permissão de renovação por meio do console de gerenciamento durante ou após a criação da CA ou usando a API `CreatePermission` do PCA. Os certificados gerenciados criados a partir desse fluxo de trabalho estão disponíveis para uso com AWS serviços integrados ao ACM.

A seção a seguir inclui procedimentos para conceder permissões de renovação.

## Atribuir permissões de renovação de certificado ao ACM
<a name="PcaPermissions"></a>

Com a [renovação gerenciada](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) no AWS Certificate Manager (ACM), você pode automatizar o processo de renovação de certificados para certificados públicos e privados. Para que o ACM renova automaticamente os certificados gerados por uma CA privada, a entidade principal de serviço do ACM deve receber toda a permissão possível *pela própria CA*. Se essas permissões de renovação não estiverem presentes para o ACM, o proprietário da CA (ou um representante autorizado) deverá reemitir manualmente cada certificado privado quando ele expirar.

**Importante**  
Esses procedimentos para atribuir permissões de renovação se aplicam somente quando o proprietário da CA e o emissor do certificado residem na mesma AWS conta. Para cenários entre contas, consulte [Anexe uma política para acesso entre contas](pca-ram.md).

As permissões de renovação podem ser delegadas durante a [criação da CA privada](create-CA.md) ou alteradas a qualquer momento depois, desde que a CA esteja no estado `ACTIVE`.

Você pode gerenciar permissões de CA privada no [Console do CA privada da AWS](https://console.aws.amazon.com/acm-pca), na [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/reference/) ou na [API do CA privada da AWS](https://docs.aws.amazon.com/privateca/latest/APIReference/):

**Para atribuir permissões de CA ao ACM (console)**

1. Faça login na sua AWS conta e abra o CA privada da AWS console em [https://console.aws.amazon.com/acm-pca/casa](https://console.aws.amazon.com/acm-pca/home).

1. Na página **Autoridades de certificação privadas**, escolha sua CA privada na lista.

1. Escolha **Ações**, **Configurar permissões da CA**.

1. Selecione **Autorizar acesso ao ACM para renovar certificados solicitados por essa conta**.

1. Escolha **Salvar**.

**Para gerenciar as permissões do ACM em CA privada da AWS ()AWS CLI**  
Use o comando [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) para atribuir permissões ao ACM. Atribua todas as permissões necessárias (`IssueCertificate`, `GetCertificate` e `ListPermissions`) para que o ACM renove automaticamente seus certificados.

```
$ aws acm-pca create-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --actions IssueCertificate GetCertificate ListPermissions \
     --principal acm.amazonaws.com
```

Use o comando [list-permissions](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/list-permissions.html) para listar as permissões delegadas por uma CA.

```
$ aws acm-pca list-permissions \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID
```

Use o comando [delete-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-permission.html) para revogar as permissões atribuídas por uma CA a um diretor de serviço. AWS 

```
$ aws acm-pca delete-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --principal acm.amazonaws.com
```

# Anexe uma política para acesso entre contas
<a name="pca-ram"></a>

Quando o administrador da CA e o emissor do certificado residem em contas da AWS diferentes, o administrador deve compartilhar o acesso à CA. Isso é feito anexando uma política baseada em recurso a ela. A política concede permissões de emissão a um diretor específico, que pode ser o proprietário AWS da conta, um usuário do IAM, um AWS Organizations ID ou um ID de unidade organizacional. 

Um administrador de CA pode anexar e gerenciar das seguintes maneiras:
+ No console de gerenciamento, usando AWS Resource Access Manager (RAM), que é um método padrão para compartilhar AWS recursos entre contas. Quando você compartilha um recurso de CA AWS RAM com um diretor em outra conta, a política baseada em recursos necessária é anexada à CA automaticamente. Para obter mais informações sobre o RAM, consulte o [Guia do usuário do AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/).
**nota**  
É possível abrir facilmente o console do RAM escolhendo uma CA e depois selecionando **Ações**, **Gerenciar compartilhamentos de recursos**.
+ Programaticamente, usando o PCA APIs [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html), e. [GetPolicy[DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html)](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html)
+ Manualmente, usando os comandos [put-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html), [get-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html) e [delete-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html) do PCA no AWS CLI.

Somente o método do console requer acesso ao RAM.

**Caso 1 entre contas: emissão de certificado gerenciado a partir do console**  
Nesse caso, o administrador da CA usa AWS Resource Access Manager (AWS RAM) para compartilhar o acesso da CA com outra AWS conta, o que permite que essa conta emita certificados ACM gerenciados. O diagrama mostra que é AWS RAM possível compartilhar a CA diretamente com a conta ou indiretamente por meio de uma AWS Organizations ID da qual a conta é membro.

![\[Emissão entre contas com o console\]](http://docs.aws.amazon.com/pt_br/privateca/latest/userguide/images/ca_access_2_accounts_console.png)


Depois que a RAM compartilha um recurso AWS Organizations, o destinatário principal deve aceitar o recurso para que ele entre em vigor. O destinatário pode configurar AWS Organizations para aceitar automaticamente os compartilhamentos oferecidos.

**nota**  
A conta do destinatário é responsável por configurar a renovação automática no ACM. Normalmente, na primeira vez em que uma CA compartilhada é usada, o ACM instala um perfil vinculado a serviço que permite que ele faça chamadas de certificado autônomas no CA privada da AWS. Se isso falhar (geralmente devido à falta de uma permissão), os certificados da CA não serão renovados automaticamente. Somente o usuário do ACM pode resolver o problema, e não o administrador da CA. Para obter mais informações, consulte [Usar um perfil vinculado a serviço (SLR) com o ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html).

**Caso 2 entre contas: emissão de certificados gerenciados e não gerenciados usando a API ou a CLI**  
Esse segundo caso demonstra as opções de compartilhamento e emissão que são possíveis usando a API AWS Certificate Manager e. CA privada da AWS Todas essas operações também podem ser realizadas usando os AWS CLI comandos correspondentes.

![\[Emissão entre contas usando o APIs\]](http://docs.aws.amazon.com/pt_br/privateca/latest/userguide/images/ca_access_2_accounts_api_options.png)


Como as operações de API estão sendo usadas diretamente neste exemplo, o emissor do certificado tem a opção de duas operações de API para emitir um certificado. A ação da API `IssueCertificate` do PCA resulta em um certificado não gerenciado que não será renovado automaticamente e deve ser exportado e instalado manualmente. A ação da API do ACM [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)resulta em um certificado gerenciado que pode ser facilmente instalado nos serviços integrados do ACM e renovado automaticamente. 

**nota**  
A conta do destinatário é responsável por configurar a renovação automática no ACM. Normalmente, na primeira vez em que uma CA compartilhada é usada, o ACM instala um perfil vinculado a serviço que permite que ele faça chamadas de certificado autônomas no CA privada da AWS. Se isso falhar (geralmente por falta de permissão), os certificados da CA não serão renovados automaticamente, e somente o usuário do ACM poderá resolver o problema, não o administrador da CA. Para obter mais informações, consulte [Usar um perfil vinculado a serviço (SLR) com o ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html).