Menggunakan peran terkait layanan (SLR) dengan ACM - AWS Certificate Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran terkait layanan (SLR) dengan ACM

AWS Certificate Manager menggunakan peran terkait layanan AWS Identity and Access Management (IAM) untuk mengaktifkan perpanjangan otomatis sertifikat ACM terkelola. Service-linked role (SLR) adalah peran IAM yang ditautkan langsung ke layanan ACM. SLR telah ditentukan sebelumnya oleh ACM dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.

SLR membuat pengaturan ACM lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual untuk penandatanganan sertifikat tanpa pengawasan. ACM mendefinisikan izin SLR-nya, dan kecuali ditentukan lain, hanya ACM yang dapat mengambil peran tersebut. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.

Untuk informasi tentang layanan lain yang mendukung SLR, lihat AWS Layanan yang Bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Tertaut Layanan. Pilih Ya dengan tautan untuk melihat dokumentasi SLR untuk layanan itu.

Izin SLR untuk ACM

ACM menggunakan SLR bernama Amazon Certificate Manager Service Role Policy.

AWSServiceRoleForCertificateManager SLR mempercayai layanan berikut untuk mengambil peran:

  • acm.amazonaws.com

Kebijakan izin peran memungkinkan ACM menyelesaikan tindakan berikut pada sumber daya yang ditentukan:

  • Tindakan:acm-pca:IssueCertificate, acm-pca:GetCertificate pada “*”

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus SLR. Untuk informasi selengkapnya, silakan lihat Izin Peran Terkait Layanan di Panduan Pengguna IAM.

penting

ACM mungkin mengingatkan Anda bahwa itu tidak dapat menentukan apakah SLR ada di akun Anda. Jika iam:GetRole izin yang diperlukan telah diberikan kepada ACM SLR untuk akun Anda, maka peringatan tidak akan terulang kembali setelah SLR dibuat. Jika berulang, Anda atau administrator akun Anda mungkin perlu memberikan iam:GetRole izin ke ACM, atau mengaitkan akun Anda dengan kebijakan yang dikelola ACM. AWSCertificateManagerFullAccess

Membuat SLR untuk ACM

Anda tidak perlu membuat SLR yang digunakan ACM secara manual. Saat Anda mengeluarkan sertifikat ACM menggunakan AWS Management Console, the AWS CLI, atau AWS API, ACM membuat SLR untuk Anda saat pertama kali memilih CA pribadi untuk menandatangani sertifikat Anda.

Jika Anda menemukan pesan yang menyatakan bahwa ACM tidak dapat menentukan apakah SLR ada di akun Anda, itu mungkin berarti bahwa akun Anda belum memberikan izin baca yang diperlukan. AWS Private CA Ini tidak akan mencegah SLR diinstal, dan Anda masih dapat menerbitkan sertifikat, tetapi ACM tidak akan dapat memperbarui sertifikat secara otomatis sampai Anda menyelesaikan masalah. Untuk informasi selengkapnya, lihat Masalah dengan peran terkait layanan ACM (SLR).

penting

SLR ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang didukung oleh peran ini. Juga, jika Anda menggunakan layanan ACM sebelum 1 Januari 2017, ketika mulai mendukung SLR, maka ACM membuat AWSServiceRoleForCertificateManager peran di akun Anda. Untuk mempelajari lebih lanjut, lihat Peran Baru yang Muncul di Akun IAM Saya.

Jika Anda menghapus SLR ini, dan kemudian perlu membuatnya lagi, Anda dapat menggunakan salah satu dari metode ini:

  • Di konsol IAM, pilih Peran, Buat peran, Certificate Manager untuk membuat peran baru dengan kasus CertificateManagerServiceRolePolicypenggunaan.

  • Menggunakan API IAM CreateServiceLinkedRoleatau AWS CLI perintah yang sesuai create-service-linked-role, buat SLR dengan nama acm.amazonaws.com layanan.

Untuk informasi selengkapnya, silakan lihat Membuat Peran Terkait Layanan dalam Panduan Pengguna IAM.

Mengedit SLR untuk ACM

ACM tidak mengizinkan Anda mengedit peran AWSServiceRoleForCertificateManager terkait layanan. Setelah membuat SLR, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit deskripsi peran menggunakan IAM. Untuk informasi selengkapnya, silakan lihat Mengedit peran tertaut layanan dalam Panduan Pengguna IAM.

Menghapus SLR untuk ACM

Anda biasanya tidak perlu menghapus AWSServiceRoleForCertificateManager SLR. Namun, Anda dapat menghapus peran secara manual menggunakan konsol IAM, AWS CLI atau AWS API. Untuk informasi selengkapnya, silakan lihat Menghapus Peran Terkait Layanan di Panduan Pengguna IAM.

Wilayah yang Didukung untuk ACM SLR

ACM mendukung penggunaan SLR di semua wilayah di mana ACM dan AWS Private CA tersedia. Untuk informasi lebih lanjut, lihat Wilayah dan titik akhirAWS.

Nama wilayah Identitas wilayah Support di ACM
US East (Northern Virginia) us-east-1 Ya
US East (Ohio) us-east-2 Ya
US West (N. California) us-west-1 Ya
US West (Oregon) us-west-2 Ya
Asia Pacific (Mumbai) ap-south-1 Ya
Asia Pacific (Osaka) ap-northeast-3 Ya
Asia Pacific (Seoul) ap-northeast-2 Ya
Asia Pacific (Singapore) ap-southeast-1 Ya
Asia Pacific (Sydney) ap-southeast-2 Ya
Asia Pacific (Tokyo) ap-northeast-1 Ya
Canada (Central) ca-sentral-1 Ya
Eropa (Frankfurt) eu-central-1 Ya
Europe (Zurich) eu-central-2 Ya
Eropa (Irlandia) eu-west-1 Ya
Eropa (London) eu-west-2 Ya
Europe (Paris) eu-west-3 Ya
South America (São Paulo) sa-east-1 Ya
AWS GovCloud (AS-Barat) us-gov-west-1 Ya
AWS GovCloud (AS-Timur) Timur us-gov-east-1 Ya