¿Cómo comparto la CA privada que creé en AWS Private CA con otra cuenta?

3 minutos de lectura

He usado AWS Private Certificate Authority para crear una autoridad de certificación (CA) privada en una cuenta de AWS. Quiero compartir la CA privada con otra cuenta para emitir certificados.

Descripción corta

Para compartir una CA privada con otra cuenta, utiliza AWS Resource Access Manager (AWS RAM) para crear un recurso compartido.

También puedes compartir una CA privada con las siguientes entidades:

Otros entidades principales, como los usuarios y roles de AWS Identity and Access Management (IAM)
Unidades organizativas (OU)
Toda tu organización de AWS Organizations

Cuando compartes tu CA privada, los usuarios y los roles de otras cuentas pueden emitir certificados x509 privados que la CA privada compartida firma.

Resolución

Crea un recurso compartido de AWS RAM en la cuenta en la que se encuentra tu CA privada.

Nota: AWS RAM es un servicio regional de AWS y un recurso compartido es regional. Debes acceder al recurso compartido privado de CA desde la misma región en la que lo creaste.

Para compartir una CA privada con otra cuenta, sigue estos pasos:

En la cuenta que tiene la CA privada, crea un recurso compartido en AWS RAM.
Nota: Al crear el recurso compartido, elige el permiso correcto para el tipo de certificado que deseas emitir. Por ejemplo, para emitir certificados de entidad final con la plantilla de certificado predeterminada arn:aws:acm-pca:::template/EndEntityCertificate/V1, elige el permiso predeterminado AWSRAMDefaultPermissionCertificateAuthority. Para emitir un certificado subordinado (PathLen0) con la plantilla de certificado arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1, elige AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority.
Acepta el recurso compartido en la otra cuenta. Si usas Organizations para compartir y has activado el uso compartido de recursos dentro de Organizations, continúa con el paso 6.
En la otra cuenta, abre la consola de AWS RAM en la misma región en la que se encuentra la CA privada.
En Compartido conmigo, selecciona Recursos compartidos para ver la invitación.
Selecciona el nombre del recurso compartido y, a continuación, elige Aceptar recurso compartido.
Nota: Tras aceptar el recurso compartido, el estado pasa a ser Activo.
En la otra cuenta, abre la consola de CA privada de AWS en la región en la que se encuentra la CA privada para ver la CA privada compartida en tu cuenta.

Información relacionada

Cómo usar AWS RAM para compartir tu CA privada entre cuentas de AWS Certificate Manager (ACM)

Temas: Security, Identity, & Compliance
Etiquetas: AWS Private Certificate Authority
Idioma: Español

OFICIAL DE AWSActualizada hace un año

Sin comentarios

Contenido relevante

Migrar instancia EC2 de una cuenta de AWS a otra
Andres
preguntada hace 8 meses
migrar aplicación a AWS desde un hosting compartido con versiones de php antiguas.
Luis
preguntada hace un año
Validación del uso de CloudFront en un entorno multi-tenant con behaviors + Lambda@Edge y recomendaciones para obtener un comportamiento predecible.
F_Ruben
preguntada hace 7 meses
Crear link de acceso a bucket S3
Consultas
preguntada hace un año
Lambda HTTP Authorizer y función no generan logs en CloudWatch cuando están en warm start
EstebanRojasBarrera
preguntada hace un año
¿Cómo soluciono los errores cuando una CA privada emite un certificado nuevo?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo revocar un certificado privado de AWS Private CA?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo comparto una imagen de máquina de Amazon (AMI) de forma privada con otra cuenta de AWS?
OFICIAL DE AWSActualizada hace 3 años
¿Por qué recibo un error de permiso GetBucketAcl de Amazon S3 cuando actualizo mi configuración de AWS Private CA CRL?
OFICIAL DE AWSActualizada hace 2 años