Buat izin akun tunggal untuk pengguna IAM - AWS Private Certificate Authority
Menetapkan izin perpanjangan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat izin akun tunggal untuk pengguna IAM

Ketika administrator CA (yaitu, pemilik CA) dan penerbit sertifikat berada dalam satu AWS akun, praktik terbaik adalah memisahkan peran penerbit dan administrator dengan membuat AWS Identity and Access Management (IAM) pengguna dengan izin terbatas. Untuk informasi tentang menggunakan IAM dengan AWS Private CA, bersama dengan izin contoh, lihatIdentity and Access Management (IAM) untuk AWS Private Certificate Authority.

Kasus akun tunggal 1: Menerbitkan sertifikat yang tidak dikelola

Dalam hal ini, pemilik akun membuat CA pribadi dan kemudian membuat IAM pengguna dengan izin untuk mengeluarkan sertifikat yang ditandatangani oleh CA pribadi. IAMPengguna mengeluarkan sertifikat dengan menelepon AWS Private CA IssueCertificateAPI.

Menerbitkan sertifikat tidak terkelola

Sertifikat yang diterbitkan dengan cara ini tidak dikelola, yang berarti bahwa administrator harus mengekspornya dan menginstalnya di perangkat yang akan digunakan. Sertifikat tersebut juga harus diperbarui secara manual saat kedaluwarsa. Menerbitkan sertifikat menggunakan ini API memerlukan permintaan penandatanganan sertifikat (CSR) dan key pair yang dihasilkan di luar AWS Private CA oleh Open SSL atau program serupa. Untuk informasi selengkapnya, lihat IssueCertificatedokumentasi https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html.

Kasus akun tunggal 2: Menerbitkan sertifikat terkelola melalui ACM

Kasus kedua ini melibatkan API operasi dari keduanya ACM danPCA. Pemilik akun membuat CA pribadi dan IAM pengguna seperti sebelumnya. Pemilik akun kemudian memberikan izin kepada kepala ACM layanan untuk memperbarui secara otomatis sertifikat apa pun yang ditandatangani oleh CA ini. IAMPengguna kembali mengeluarkan sertifikat, tetapi kali ini dengan memanggil ACM RequestCertificateAPI, yang menangani CSR dan pembuatan kunci. Ketika sertifikat kedaluwarsa, ACM mengotomatiskan alur kerja perpanjangan.

Menerbitkan sertifikat terkelola

Pemilik akun memiliki opsi untuk memberikan izin perpanjangan melalui konsol manajemen selama atau setelah pembuatan CA atau menggunakan. PCA CreatePermission API Sertifikat terkelola yang dibuat dari alur kerja ini tersedia untuk digunakan dengan AWS layanan yang terintegrasi dengannyaACM.

Bagian berikut berisi prosedur untuk memberikan izin perpanjangan.

Tetapkan izin perpanjangan sertifikat ke ACM

Dengan perpanjangan terkelola di AWS Certificate Manager (ACM), Anda dapat mengotomatiskan proses perpanjangan sertifikat untuk sertifikat publik dan swasta. ACMAgar dapat secara otomatis memperbarui sertifikat yang dihasilkan oleh CA pribadi, kepala ACM layanan harus diberikan semua izin yang mungkin oleh CA itu sendiri. Jika izin perpanjangan ini tidak adaACM, pemilik CA (atau perwakilan resmi) harus menerbitkan ulang setiap sertifikat pribadi secara manual saat kedaluwarsa.

penting

Prosedur untuk menetapkan izin perpanjangan ini hanya berlaku ketika pemilik CA dan penerbit sertifikat berada di akun yang sama. AWS Untuk skenario lintas akun, lihat Lampirkan kebijakan untuk akses lintas akun.

Izin perpanjangan dapat didelegasikan selama pembuatan CA privat atau diubah kapan saja setelah selama CA berada di negara bagian ACTIVE.

Anda dapat mengelola izin CA pribadi dari AWS Private CA Konsol, AWS Command Line Interface (AWS CLI), atau: AWS Private CA API

Untuk menetapkan izin CA pribadi ke ACM (konsol)

  1. Masuk ke AWS akun Anda dan buka AWS Private CA konsol di https://console.aws.amazon.com/acm-pca/rumah.

  2. Pada halaman Otoritas sertifikat pribadi, pilih CA pribadi Anda dari daftar.

  3. Pilih Tindakan, Konfigurasikan izin CA.

  4. Pilih Otorisasi ACM akses untuk memperbarui sertifikat yang diminta oleh akun ini.

  5. Pilih Simpan.

Untuk mengelola ACM izin di AWS Private CA ()AWS CLI

Gunakan perintah create-permission untuk menetapkan izin ke. ACM Anda harus menetapkan izin yang diperlukan (IssueCertificate,GetCertificate, danListPermissions) agar dapat memperbarui sertifikat ACM Anda secara otomatis.

$ aws acm-pca create-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --actions IssueCertificate GetCertificate ListPermissions \
     --principal acm.amazonaws.com

Gunakan perintah list-permissions untuk membuat daftar izin yang didelegasikan oleh CA.

$ aws acm-pca list-permissions \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID

Gunakan perintah delete-permission untuk mencabut izin yang ditetapkan oleh CA ke kepala layanan. AWS 

$ aws acm-pca delete-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --principal acm.amazonaws.com