하나의 AWS 계정에 AWS Certificate Manager Private Certificate Authority(ACM PCA)을 생성했습니다. 해당 ACM PCA를 다른 AWS 계정과 공유하여 인증서를 발급할 수 있는지 알고 싶습니다.
간략한 설명
AWS Resource Access Manager(AWS RAM)를 사용하여 다른 AWS 계정과 리소스 공유를 생성하기 위해 ACM PCA를 공유할 수 있습니다. 또한 다음과 같은 다른 엔티티와 ACM PCA를 공유할 수도 있습니다.
- 기타 주체(예: AWS Identify and Access Management(IAM) 사용자 및 IAM 역할).
- 조직 단위(OU).
- 계정이 속한 전체 AWS 조직.
ACM PCA 공유를 사용하면 다른 계정의 사용자 및 역할이 공유 PCA에서 서명한 비공개 x509 인증서를 발급할 수 있습니다.
해결 방법
ACM PCA가 있는 계정에서 AWS RAM 공유를 만듭니다.
사용 사례 예시
계정 A에 기존 ACM PCA가 있고 이를 계정 B와 공유하려고 합니다.
참고: AWS RAM은 지역 서비스이고 리소스 공유는 지역입니다. 다른 AWS 계정의 주체와 리소스 공유를 하려면 리소스 공유가 생성된 동일한 AWS 리전의 리소스에 액세스해야 합니다.
-
계정 A에서 AWS RAM에 리소스 공유를 생성합니다. 지침은 AWS RAM에 리소스 공유 생성하기의 콘솔 지침을 참조하세요.
참고: 2단계에서: 관리되는 권한을 각 리소스 유형에 연결하고 발급하려는 인증서 유형에 대한 권한을 선택합니다. 예를 들면 다음과 같습니다.
기본 인증서 템플릿 **arn:aws:acm-pca:::template/EndEntityCertificate/V1:**를 사용하여 최종 엔터티 인증서를 발급하려면 기본 권한 AWSRAMDefaultPermissionCertificateAhority를 선택합니다.
인증서 템플릿 **arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1:**를 사용하여 하위 인증서(PathLen0)를 발급하려면 AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority를 선택합니다.
-
공유 계정(이 예에서는 계정 B)에서 공유 리소스를 수락합니다. AWS 조직과 공유하는 경우(AWS 조직 내에서 리소스 공유가 켜져 있는 경우) 6단계로 건너뛸 수 있습니다.
-
공유 계정(이 예제에서는 계정 B)에서 1단계와 동일한 리전에서 AWS RAM 콘솔을 엽니다.
-
나와 공유됨에서 리소스 공유를 선택합니다. 보류 중인 공유 초대가 표시됩니다.
-
공유 리소스의 이름을 선택한 다음 리소스 공유 수락을 선택합니다. 공유를 수락하면 공유가 활성으로 표시됩니다.
-
공유 계정(이 예에서는 계정 B)에서 PCA가 위치한 리전에서 ACM PCA 콘솔을 엽니다. 계정에 공유 PCA가 표시됩니다. 공유 PCA를 사용하여 개인 x509 인증서를 발급할 수 있습니다.
관련 정보
AWS RAM을 사용하여 ACM 비공개 CA 교차 계정을 공유하는 방법