기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
ACM에 서비스 연결 역할(SLR) 사용
AWS Certificate Manager AWS Identity and Access Management (IAM) 서비스 연결 역할을 사용하여 관리형 ACM 인증서의 자동 갱신을 활성화합니다. 서비스 연결 역할(SLR)은 ACM 서비스에 직접 연결된 IAM 역할입니다. SLR은 ACM에 의해 사전 정의되며 서비스에서 다른 AWS 서비스를 자동으로 호출하기 위해 필요한 모든 권한을 포함합니다.
SLR은 무인 인증서 서명에 필요한 권한을 수동으로 추가할 필요가 없으므로 ACM을 더 쉽게 설정할 수 있습니다. ACM이 SLR의 권한을 정의하므로, 달리 정의되지 않은 한 만 해당 역할을 맡을 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
SLR을 지원하는 기타 서비스에 대한 자세한 내용을 알아보려면 IAM으로 작업하는AWS 서비스를 참조하고, 서비스 연결 역할(Service-Linked Role) 열에 예(Yes)가 있는 서비스를 찾으세요. 해당 서비스에 대한 SLR 설명서를 보려면 [예(Yes)] 링크를 선택합니다.
ACM에 대한 SLR 권한
ACM은 Amazon Certificate Manager 서비스 역할 정책이라는 SLR을 사용합니다.
AWSServiceRoleForCertificateManager SLR은 다음 서비스가 역할을 맡을 것으로 신뢰합니다.
-
acm.amazonaws.com
역할 권한 정책은 ACM이 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.
-
작업:
acm-pca:IssueCertificate, "*"에 대한acm-pca:GetCertificate
IAM 객체(사용자, 그룹, 역할 등)가 SLR을 작성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 링크 역할 권한을 참조하세요.
중요
이 경우 ACM은 계정에 SLR이 있는지 여부를 확인할 수 없다는 알림을 표시할 수 있습니다. 필요한 iam:GetRole 권한이 이미 계정의 ACM SLR에 부여된 경우, SLR이 생성된 후 알림이 다시 표시되지 않습니다. 알림이 다시 표시될 경우 사용자 또는 계정 관리자가 ACM에 iam:GetRole 권한을 부여하거나 계정을 ACM 관리형 정책 AWSCertificateManagerFullAccess에 연결해야 할 수 있습니다.
ACM에 대한 SLR 생성
ACM이 사용하는 SLR은 수동으로 생성할 필요가 없습니다. AWS Management Console AWS CLI, 또는 AWS API를 사용하여 ACM 인증서를 발급하면 인증서에 서명할 사설 CA를 처음 선택할 때 ACM이 SLR을 생성합니다.
ACM이 계정에 SLR이 있는지 여부를 확인할 수 없다는 메시지가 표시되면 해당 계정에서 필요한 읽기 권한을 부여하지 않은 것일 수 있습니다. AWS Private CA 이 경우 SLR이 설치되지 않으며, 인증서를 계속 발급할 수 있지만 문제를 해결할 때까지 ACM이 인증서를 자동으로 갱신할 수 없습니다. 자세한 설명은 서비스 연결 역할 관련 문제 () ACM SLR 섹션을 참조하세요.
중요
이 SLR은 이 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 나타날 수 있습니다. 또한 SLR 지원이 시작된 2017년 1월 1일 이전에 ACM 서비스를 사용하고 있었다면 ACM이 사용자 계정에 역할을 생성한 것입니다. AWSServiceRoleForCertificateManager 자세한 내용은 내 IAM 계정에 표시되는 새 역할을 참조하세요.
이 SLR을 삭제할 경우, 다시 생성해야 하는 경우 다음 방법 중 하나를 사용할 수 있습니다.
-
IAM 콘솔에서 역할, 역할 생성, Certificate Manager를 선택하여 CertificateManagerServiceRolePolicy사용 사례에 따라 새 역할을 생성합니다.
-
IAM API CreateServiceLinkedRole또는 해당 AWS CLI 명령을 사용하여 서비스 create-service-linked-role이름으로 SLR을
acm.amazonaws.com생성합니다.
자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 생성 단원을 참조하세요.
ACM에 대한 SLR 편집
ACM에서는 서비스 연결 역할을 편집할 수 없습니다. AWSServiceRoleForCertificateManager 다양한 주체가 역할을 참조할 수 있기 때문에 SLR이 생성된 후에는 역할 이름을 편집할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 링크 역할 편집을 참조하세요.
ACM에 대한 SLR 삭제
일반적으로 SLR은 삭제할 필요가 없습니다. AWSServiceRoleForCertificateManager 하지만 IAM 콘솔, AWS CLI 또는 API를 사용하여 역할을 수동으로 삭제할 수 있습니다. AWS 자세한 내용은 IAM 사용 설명서의 서비스 링크 역할 삭제를 참조하세요.
ACM SLR이 지원되는 리전
ACM은 ACM과 ACM을 모두 사용할 수 있는 모든 지역에서 SLR 사용을 지원합니다. AWS Private CA 자세한 내용은 AWS 리전 및 엔드포인트 섹션을 참조하십시오.
| 지역명 | 리전 자격 증명 | ACM의 지원 |
|---|---|---|
| 미국 동부(버지니아 북부) | us-east-1 | 예 |
| 미국 동부(오하이오) | us-east-2 | 예 |
| 미국 서부(캘리포니아 북부) | us-west-1 | 예 |
| 미국 서부(오레곤) | us-west-2 | 예 |
| 아시아 태평양(뭄바이) | ap-south-1 | 예 |
| 아시아 태평양(오사카) | ap-northeast-3 | 예 |
| 아시아 태평양(서울) | ap-northeast-2 | 예 |
| 아시아 태평양(싱가포르) | ap-southeast-1 | 예 |
| 아시아 태평양(시드니) | ap-southeast-2 | 예 |
| 아시아 태평양(도쿄) | ap-northeast-1 | 예 |
| 캐나다(중부) | ca-central-1 | 예 |
| 유럽(프랑크푸르트) | eu-central-1 | 예 |
| 유럽(취리히) | eu-central-2 | 예 |
| 유럽(아일랜드) | eu-west-1 | 예 |
| 유럽(런던) | eu-west-2 | 예 |
| 유럽(파리) | eu-west-3 | 예 |
| 남아메리카(상파울루) | sa-east-1 | 예 |
| AWS GovCloud (미국 서부) | us-gov-west-1 | 예 |
| AWS GovCloud (미국 동부) 동부 | us-gov-east-1 | 예 |
