Lampirkan kebijakan untuk akses lintas akun - AWS Private Certificate Authority

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Lampirkan kebijakan untuk akses lintas akun

Saat administrator CA dan penerbit sertifikat berada d akun AWS yang berbeda, administrator CA harus berbagi akses CA. Hal ini dilakukan dengan melampirkan kebijakan berbasis sumber daya ke CA. Kebijakan ini memberikan izin penerbitan kepada prinsipal tertentu, yang dapat berupa pemilik AWS akun, pengguna IAM, AWS Organizations ID, atau ID unit organisasi.

Administrator CA dapat melampirkan dan mengelola kebijakan dengan cara berikut:

  • Di konsol manajemen, menggunakan AWS Resource Access Manager (RAM), yang merupakan metode standar untuk berbagi AWS sumber daya di seluruh akun. Saat Anda membagikan sumber daya CA AWS RAM dengan prinsipal di akun lain, kebijakan berbasis sumber daya yang diperlukan akan dilampirkan ke CA secara otomatis. Untuk informasi lebih lanjut tentang RAM, lihat Panduan Pengguna AWS RAM.

    catatan

    Anda dapat dengan mudah membuka konsol RAM dengan memilih CA dan kemudian memilih Tindakan, Kelola berbagi sumber daya.

  • Secara terprogram, menggunakan API PCA PutPolicy,, GetPolicydan. DeletePolicy

  • Secara manual, menggunakan perintah PCA put-policy, get-policy, dan delete-kebijakan di AWS CLI.

Hanya metode konsol yang memerlukan akses RAM.

Kasus lintas akun 1: Menerbitkan sertifikat terkelola dari konsol

Dalam hal ini, administrator CA menggunakan AWS Resource Access Manager (AWS RAM) untuk berbagi akses CA dengan AWS akun lain, yang memungkinkan akun tersebut mengeluarkan sertifikat ACM terkelola. Diagram menunjukkan bahwa AWS RAM dapat berbagi CA secara langsung dengan akun, atau secara tidak langsung melalui AWS Organizations ID di mana akun tersebut adalah anggota.

Penerbitan lintas akun dengan konsol

Setelah RAM berbagi sumber daya AWS Organizations, prinsipal penerima harus menerima sumber daya agar dapat diterapkan. Penerima dapat mengonfigurasi AWS Organizations untuk menerima saham yang ditawarkan secara otomatis.

catatan

Akun penerima bertanggung jawab untuk mengonfigurasi autorenewal di ACM. Biasanya, pada kesempatan pertama CA bersama digunakan, ACM menginstal peran terkait layanan yang memungkinkannya melakukan panggilan sertifikat tanpa pengawasan. AWS Private CA Jika ini gagal (biasanya karena izin yang hilang), sertifikat dari CA tidak diperbarui secara otomatis. Hanya pengguna ACM yang dapat menyelesaikan masalah, bukan administrator CA. Untuk informasi selengkapnya, lihat Menggunakan Peran Tertaut Layanan (SLR) dengan ACM.

Kasus lintas akun 2: Menerbitkan sertifikat terkelola dan tidak terkelola menggunakan API atau CLI

Kasus kedua ini menunjukkan opsi berbagi dan penerbitan yang dimungkinkan menggunakan API AWS Certificate Manager dan AWS Private CA . Semua operasi ini juga dapat dilakukan dengan menggunakan AWS CLI perintah yang sesuai.

Penerbitan lintas akun menggunakan API

Karena operasi API digunakan secara langsung dalam contoh ini, penerbit sertifikat memiliki pilihan dua operasi API untuk mengeluarkan sertifikat. Tindakan API PCA IssueCertificate menghasilkan sertifikat tidak terkelola yang tidak akan diperpanjang secara otomatis dan harus diekspor dan diinstal secara manual. Tindakan ACM API RequestCertificatemenghasilkan sertifikat terkelola yang dapat dengan mudah diinstal pada layanan terintegrasi ACM dan diperbarui secara otomatis.

catatan

Akun penerima bertanggung jawab untuk mengkonfigurasi perpanjangan otomatis di ACM. Biasanya, pada kesempatan pertama CA bersama digunakan, ACM menginstal peran terkait layanan yang memungkinkannya melakukan panggilan sertifikat tanpa pengawasan. AWS Private CA Jika ini gagal (biasanya karena izin hilang), sertifikat dari CA tidak akan memperbarui secara otomatis, dan hanya pengguna ACM yang dapat menyelesaikan masalah tersebut, bukan administrator CA. Untuk informasi selengkapnya, lihat Menggunakan Peran Tertaut Layanan (SLR) dengan ACM.