Utilisation d'un rôle lié à un service (SLR) avec ACM - AWS Certificate Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'un rôle lié à un service (SLR) avec ACM

AWS Certificate Manager utilise un rôle lié à un service AWS Identity and Access Management (IAM) pour activer les renouvellements automatiques des certificats ACM gérés. Un rôle lié à un service (SLR) est un rôle IAM directement associé au service ACM. Les rôles SLR sont prédéfinis par ACM et comprennent toutes les autorisations dont le service a besoin pour appeler d'autres services AWS en votre nom.

Le rôle SLR simplifie la configuration d'ACM, car vous n'avez pas besoin d'ajouter manuellement les autorisations nécessaires à la signature de certificats sans assistance. ACM définit les autorisations de son rôle SLR et, sauf définition contraire, il est le seul à pouvoir endosser ce rôle. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisation. De plus, cette politique d'autorisation ne peut pas être attachée à une autre entité IAM.

Pour plus d'informations sur les autres services qui prennent en charge les SLR, consultez AWS Services qui fonctionnent avec IAM et recherchez les services pour lesquels la mention Oui apparaît dans la colonne Rôle lié à un service. Choisissez une mention Oui disponible sous forme de lien pour consulter la documentation SLR du service correspondant.

Autorisations SLR pour ACM

ACM utilise un rôle SLR nommé Amazon Certificate Manager Service Role Policy.

Le rôle SLR AWSServiceRoleForCertificateManager approuve les services suivants pour endosser le rôle :

  • acm.amazonaws.com

La politique d'autorisations liée au rôle permet à ACM d'effectuer les actions suivantes sur les ressources spécifiées :

  • Actions : acm-pca:IssueCertificate, acm-pca:GetCertificate sur "*"

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, de modifier ou de supprimer un rôle SLR. Pour plus d'informations, consultez Service-Linked Role Permissions (autorisations du rôle lié à un service) dans le IAM User Guide (guide de l'utilisateur IAM).

Important

ACM peut vous avertir qu'il ne peut pas déterminer si un rôle SLR existe sur votre compte. Si l'autorisation iam:GetRole requise a déjà été accordée au rôle SLR ACM pour votre compte, l'alerte ne se reproduira pas après la création du rôle SLR. Si elle se reproduit, vous ou votre administrateur de compte devrez peut-être accorder l'autorisation iam:GetRole à ACM, ou associer votre compte à la politique AWSCertificateManagerFullAccess gérée par ACM.

Création du rôle SLR pour ACM

Vous n'avez pas besoin de créer manuellement le rôle SLR utilisé par ACM. Lorsque vous émettez un certificat ACM à l'aide de la AWS Management Console, du AWS CLI ou de l'API AWS, ACM crée le rôle SLR pour vous la première fois que vous choisissez une autorité de certification privée pour signer votre certificat.

Si vous rencontrez des messages indiquant qu'ACM ne peut déterminer l'existence d'un SLR sur votre compte, cela peut signifier que votre compte n'a pas accordé l'autorisation de lecture requise par Autorité de certification privée AWS. Cela n'empêchera pas l'installation du rôle SLR, et vous pourrez toujours émettre des certificats, mais ACM ne pourra pas renouveler automatiquement les certificats tant que vous n'aurez pas résolu le problème. Pour de plus amples informations, consultez Problèmes liés au rôle lié à un service (SLR) ACM.

Important

Ce rôle SLR peut apparaître dans votre compte si vous avez effectué dans un autre service une action qui utilise les fonctions prises en charge par ce rôle. En outre, si vous utilisiez le service ACM avant le 1er janvier 2017, date à laquelle il a commencé à prendre en charge les rôles SLR, ACM a créé le rôle AWSServiceRoleForCertificateManager dans votre compte. Pour plus d'informations, consultez A New Role Appeared in My IAM Account (Un nouveau rôle est apparu dans mon compte IAM).

Si vous supprimez ce rôle SLR et que vous devez ensuite le recréer, vous pouvez utiliser l'une des méthodes suivantes :

  • Dans la console IAM, choisissez Rôle, Créer un rôle, Certificate Manager pour créer un nouveau rôle avec le cas d'utilisation CertificateManagerServiceRolePolicy.

  • À l'aide de l'API IAM CreateServiceLinkedRole ou de la commande AWS CLI create-service-linked-role correspondante, créez un rôle SLR avec le nom de service acm.amazonaws.com.

Pour plus d'informations, consultez Création d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Modification du rôle SLR pour ACM

ACM ne vous permet pas de modifier le rôle lié à un service AWSServiceRoleForCertificateManager. Après avoir créé un rôle SLR, vous ne pouvez pas modifier son nom, car différentes entités peuvent y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l'aide d'IAM. Pour plus d'informations, consultez Editing a Service-Linked Role (Modification d'un rôle lié à un service) dans le Guide de l'utilisateur IAM.

Suppression du rôle SLR pour ACM

Il n'est généralement pas nécessaire de supprimer le rôle SLR AWSServiceRoleForCertificateManager. Cela dit, il est possible de le supprimer manuellement à l'aide de la console IAM, de l'interface AWS CLI ou de l'API AWS. Pour plus d'informations, veuillez consulter Deleting a Service-Linked Role (Suppression d'un rôle lié à un service) dans le Guide de l'utilisateur IAM.

Régions prises en charge pour les rôles SLR ACM

ACM prend en charge l'utilisation de SLR dans toutes les régions où ACM et Autorité de certification privée AWS sont disponibles. Pour de plus amples informations, consultez Regions and Endpoints AWS (Régions et points de terminaison) .

Nom de la région Identité de la région Prise en charge dans ACM
US East (Virginie du Nord) us-east-1 Oui
USA Est (Ohio) us-east-2 Oui
USA Ouest (Californie du Nord) us-west-1 Oui
USA Ouest (Oregon) us-west-2 Oui
Asie-Pacifique (Mumbai) ap-south-1 Oui
Asie-Pacifique (Osaka) ap-northeast-3 Oui
Asie-Pacifique (Séoul) ap-northeast-2 Oui
Asie-Pacifique (Singapore) ap-southeast-1 Oui
Asie-Pacifique (Sydney) ap-southeast-2 Oui
Asie Pacifique (Tokyo) ap-northeast-1 Oui
Canada (Centre) ca-central-1 Oui
Europe (Francfort) eu-central-1 Oui
Europe (Irlande) eu-west-1 Oui
Europe (Londres) eu-west-2 Oui
Europe (Paris) eu-west-3 Oui
Amérique du Sud (São Paulo) sa-east-1 Oui
AWS GovCloud (USA-Ouest) us-gov-west-1 Oui
AWS GovCloud (US-East) us-gov-east-1 Oui