Ich habe in einem AWS-Konto eine Private Certificate Authority (ACM PCA) für AWS Certificate Manager (ACM) erstellt. Kann ich es mit einem anderen AWS-Konto teilen, um Zertifikate auszustellen?
Kurzbeschreibung
Sie können eine Ressourcenfreigabe mit AWS Resource Access Manager (AWS RAM) erstellen, um eine ACM PCA mit einem anderen AWS-Konto zu teilen. Darüber hinaus können Sie einen ACM PCA teilen mit:
- Anderen Prinzipalen, wie Benutzern von AWS Identify and Access Management (IAM)-Benutzer und IAM-Rollen.
- Organisationseinheiten (OUs).
- Der gesamten AWS-Organisation, in der Ihr Konto Mitglied ist.
Durch die Freigabe Ihrer ACM PCA können Benutzer und Rollen in anderen Konten private x509-Zertifikate ausstellen, die von der gemeinsam genutzten PCA signiert wurden.
Auflösung
Erstellen Sie eine AWS-RAM-Freigabe in dem Konto, in dem sich Ihre ACM PCA befindet.
Beispiel
Sie haben bereits eine ACM PCA in Konto A. Sie möchten sie mit Konto B teilen.
- Erstellen Sie in Konto A eine Ressourcenfreigabe in AWS RAM. Ausführliche Anweisungen finden Sie in den Anweisungen zur Konsole unter Erstellen einer Ressourcenfreigabe.
Hinweis: Wählen Sie in Schritt 2: Zuordnen einer Berechtigung mit jedem Ressourcentyp die Berechtigung für den Typ der Zertifikate aus, die Sie ausstellen möchten. Zum Beispiel:
Um Endteilnehmer-Zertifikate mit der Standard-Zertifikatsvorlage arn:aws:acm-pca:::template/EndEntityCertificate/V1 auszustellen: wählen Sie die Standard-Berechtigung AWSRAMDefaultPermissionCertificateAuthority.
Um ein untergeordnetes Zertifikat (PathLen0) unter Verwendung der Zertifikatsvorlage arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1: auszustellen, wählen Sie AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority.
- Akzeptieren Sie die geteilte Ressource in Ihrem geteilten Konto (in diesem Beispiel Konto B). Wenn Sie mit AWS Organizations teilen (mit aktivierter Ressourcenfreigabe innerhalb der AWS-Organisation), können Sie mit Schritt 6 fortfahren.
- Öffnen Sie im gemeinsam genutzten Konto (in diesem Beispiel Konto B) die AWS-RAM-Konsole in derselben Region wie in Schritt 1.
- Wählen Sie unter Mit mir geteilt die Option Ressourcenfreigaben aus. Sie sehen die ausstehende Einladung zum Teilen.
- Wählen Sie den Namen der freigegebenen Ressource aus, und wählen Sie dann Ressourcenfreigabe akzeptieren aus. Nach Annahme der Aktie wird die Aktie als Aktiv aufgeführt.
- Öffnen Sie im gemeinsam genutzten Konto (in diesem Beispiel Konto B) die ACM-PCA-Konsole in der Region, in der sich der PCA befindet. Sie sehen die gemeinsam genutzte PCA in Ihrem Konto. Sie können beginnen, private x509-Zertifikate mithilfe des gemeinsam genutzten PCA auszustellen.
Relevante Informationen
So verwenden Sie AWS RAM, um Ihre ACM Private CA kontoübergreifend zu teilen
Erstellen einer Ressourcenfreigabe im AWS RAM