Anexe uma política para acesso entre contas

Quando o administrador da CA e o emissor do certificado residem em contas da AWS diferentes, o administrador deve compartilhar o acesso à CA. Isso é feito anexando uma política baseada em recurso a ela. A política concede permissões de emissão a um diretor específico, que pode ser o proprietário AWS da conta, um usuário do IAM, um AWS Organizations ID ou um ID de unidade organizacional.

Um administrador de CA pode anexar e gerenciar das seguintes maneiras:

• No console de gerenciamento, usando AWS Resource Access Manager (RAM), que é um método padrão para compartilhar AWS recursos entre contas. Quando você compartilha um recurso de CA AWS RAM com um diretor em outra conta, a política baseada em recursos necessária é anexada à CA automaticamente. Para obter mais informações sobre o RAM, consulte o Guia do usuário do AWS RAM.

  nota

  É possível abrir facilmente o console do RAM escolhendo uma CA e depois selecionando Ações, Gerenciar compartilhamentos de recursos.

• Programaticamente, usando as APIs do PCA, e. PutPolicyGetPolicyDeletePolicy

• Manualmente, usando os comandos put-policy, get-policy e delete-policy do PCA no AWS CLI.

Somente o método do console requer acesso ao RAM.

Caso 1 entre contas: emissão de certificado gerenciado a partir do console

Nesse caso, o administrador da CA usa AWS Resource Access Manager (AWS RAM) para compartilhar o acesso da CA com outra AWS conta, o que permite que essa conta emita certificados ACM gerenciados. O diagrama mostra que é AWS RAM possível compartilhar a CA diretamente com a conta ou indiretamente por meio de uma AWS Organizations ID da qual a conta é membro.

Depois que a RAM compartilha um recurso AWS Organizations, o principal destinatário deve aceitar o recurso para que ele entre em vigor. O destinatário pode configurar AWS Organizations para aceitar automaticamente os compartilhamentos oferecidos.

nota

A conta do destinatário é responsável por configurar a renovação automática no ACM. Normalmente, na primeira vez em que uma CA compartilhada é usada, o ACM instala um perfil vinculado a serviço que permite que ele faça chamadas de certificado autônomas no CA privada da AWS. Se isso falhar (geralmente devido à falta de uma permissão), os certificados da CA não serão renovados automaticamente. Somente o usuário do ACM pode resolver o problema, e não o administrador da CA. Para obter mais informações, consulte Usar um perfil vinculado a serviço (SLR) com o ACM.

Caso 2 entre contas: emissão de certificados gerenciados e não gerenciados usando a API ou a CLI

Esse segundo caso demonstra as opções de compartilhamento e emissão que são possíveis usando a API AWS Certificate Manager e. CA privada da AWS Todas essas operações também podem ser realizadas usando os AWS CLI comandos correspondentes.

Como as operações de API estão sendo usadas diretamente neste exemplo, o emissor do certificado tem a opção de duas operações de API para emitir um certificado. A ação da API IssueCertificate do PCA resulta em um certificado não gerenciado que não será renovado automaticamente e deve ser exportado e instalado manualmente. A ação da API do ACM RequestCertificateresulta em um certificado gerenciado que pode ser facilmente instalado nos serviços integrados do ACM e renovado automaticamente.

nota

A conta do destinatário é responsável por configurar a renovação automática no ACM. Normalmente, na primeira vez em que uma CA compartilhada é usada, o ACM instala um perfil vinculado a serviço que permite que ele faça chamadas de certificado autônomas no CA privada da AWS. Se isso falhar (geralmente por falta de permissão), os certificados da CA não serão renovados automaticamente, e somente o usuário do ACM poderá resolver o problema, não o administrador da CA. Para obter mais informações, consulte Usar um perfil vinculado a serviço (SLR) com o ACM.