Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation d'un rôle lié à un service (SLR) avec ACM
AWS Certificate Manager utilise un rôle lié à un service AWS Identity and Access Management (IAM) pour permettre le renouvellement automatique des certificats ACM gérés. Un rôle lié à un service (SLR) est un rôle IAM directement associé au service ACM. Les rôles SLR sont prédéfinis par ACM et comprennent toutes les autorisations dont le service a besoin pour appeler d'autres services AWS en votre nom.
Le rôle SLR simplifie la configuration d'ACM, car vous n'avez pas besoin d'ajouter manuellement les autorisations nécessaires à la signature de certificats sans assistance. ACM définit les autorisations de son rôle SLR et, sauf définition contraire, il est le seul à pouvoir endosser ce rôle. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Pour plus d'informations sur les autres services qui prennent en charge les SLR, consultez AWS Services qui fonctionnent avec IAM et recherchez les services pour lesquels la mention Oui apparaît dans la colonne Rôle lié à un service. Choisissez une mention Oui disponible sous forme de lien pour consulter la documentation SLR du service correspondant.
Autorisations SLR pour ACM
ACM utilise un rôle SLR nommé Amazon Certificate Manager Service Role Policy.
Le AWSServiceRoleForCertificateManager SLR fait confiance aux services suivants pour assumer ce rôle :
-
acm.amazonaws.com
La politique d'autorisations liée au rôle permet à ACM d'effectuer les actions suivantes sur les ressources spécifiées :
-
Actions :
acm-pca:IssueCertificate,acm-pca:GetCertificatesur "*"
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, de modifier ou de supprimer un rôle SLR. Pour plus d'informations, consultez Service-Linked Role Permissions (autorisations du rôle lié à un service) dans le IAM User Guide (guide de l'utilisateur IAM).
Important
ACM peut vous avertir qu'il ne peut pas déterminer si un rôle SLR existe sur votre compte. Si l'autorisation iam:GetRole requise a déjà été accordée au rôle SLR ACM pour votre compte, l'alerte ne se reproduira pas après la création du rôle SLR. Si elle se reproduit, vous ou votre administrateur de compte devrez peut-être accorder l'autorisation iam:GetRole à ACM, ou associer votre compte à la politique AWSCertificateManagerFullAccess gérée par ACM.
Création du rôle SLR pour ACM
Vous n'avez pas besoin de créer manuellement le rôle SLR utilisé par ACM. Lorsque vous émettez un certificat ACM à l'aide de AWS Management Console, de AWS CLI, ou de l' AWS API, ACM crée le SLR pour vous la première fois que vous choisissez une autorité de certification privée pour signer votre certificat.
Si vous recevez des messages indiquant qu'ACM ne peut pas déterminer si un reflex existe sur votre compte, cela signifie peut-être que votre compte n'a pas accordé l'autorisation de lecture requise. Autorité de certification privée AWS Cela n'empêchera pas l'installation du rôle SLR, et vous pourrez toujours émettre des certificats, mais ACM ne pourra pas renouveler automatiquement les certificats tant que vous n'aurez pas résolu le problème. Pour de plus amples informations, consultez Problèmes liés au rôle lié à un service (SLR) ACM.
Important
Ce rôle SLR peut apparaître dans votre compte si vous avez effectué dans un autre service une action qui utilise les fonctions prises en charge par ce rôle. De plus, si vous utilisiez le service ACM avant le 1er janvier 2017, date à laquelle il a commencé à prendre en charge les reflex, ACM a créé le AWSServiceRoleForCertificateManager rôle dans votre compte. Pour plus d'informations, consultez A New Role Appeared in My IAM Account (Un nouveau rôle est apparu dans mon compte IAM).
Si vous supprimez ce rôle SLR et que vous devez ensuite le recréer, vous pouvez utiliser l'une des méthodes suivantes :
-
Dans la console IAM, choisissez Role, Create role, Certificate Manager pour créer un nouveau rôle avec le cas CertificateManagerServiceRolePolicyd'utilisation.
-
À l'aide de l'API IAM CreateServiceLinkedRoleou de la AWS CLI commande correspondante create-service-linked-role, créez un SLR avec le nom du
acm.amazonaws.comservice.
Pour plus d'informations, consultez Création d'un rôle lié à un service dans le Guide de l'utilisateur IAM.
Modification du rôle SLR pour ACM
ACM ne vous permet pas de modifier le rôle lié au AWSServiceRoleForCertificateManager service. Après avoir créé un rôle SLR, vous ne pouvez pas modifier son nom, car différentes entités peuvent y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d'informations, consultez Editing a Service-Linked Role (Modification d'un rôle lié à un service) dans le Guide de l'utilisateur IAM.
Suppression du rôle SLR pour ACM
Il n'est généralement pas nécessaire de supprimer le AWSServiceRoleForCertificateManager reflex. Toutefois, vous pouvez supprimer le rôle manuellement à l'aide de la console IAM, de l'API AWS CLI ou de l' AWS API. Pour plus d'informations, veuillez consulter Deleting a Service-Linked Role (Suppression d'un rôle lié à un service) dans le Guide de l'utilisateur IAM.
Régions prises en charge pour les rôles SLR ACM
ACM prend en charge l'utilisation des reflex dans toutes les régions où ACM et Autorité de certification privée AWS ACM sont disponibles. Pour de plus amples informations, consultez Regions and EndpointsAWS (Régions et points de terminaison) .
| Nom de la région | Identité de la région | Prise en charge dans ACM |
|---|---|---|
| US East (Virginie du Nord) | us-east-1 | Oui |
| USA Est (Ohio) | us-east-2 | Oui |
| USA Ouest (Californie du Nord) | us-west-1 | Oui |
| USA Ouest (Oregon) | us-west-2 | Oui |
| Asie-Pacifique (Mumbai) | ap-south-1 | Oui |
| Asie-Pacifique (Osaka) | ap-northeast-3 | Oui |
| Asie-Pacifique (Séoul) | ap-northeast-2 | Oui |
| Asie-Pacifique (Singapour) | ap-southeast-1 | Oui |
| Asie-Pacifique (Sydney) | ap-southeast-2 | Oui |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Oui |
| Canada (Centre) | ca-central-1 | Oui |
| Europe (Francfort) | eu-central-1 | Oui |
| Europe (Zurich) | eu-central-2 | Oui |
| Europe (Irlande) | eu-west-1 | Oui |
| Europe (Londres) | eu-west-2 | Oui |
| Europe (Paris) | eu-west-3 | Oui |
| Amérique du Sud (São Paulo) | sa-east-1 | Oui |
| AWS GovCloud (US-Ouest) | us-gov-west-1 | Oui |
| AWS GovCloud (USA Est) Est | us-gov-east-1 | Oui |
