AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관

ACM Private Certificate Authority을 다른 AWS 계정과 공유하려면 어떻게 해야 합니까?

2분 분량
0

하나의 AWS 계정에 AWS Certificate Manager Private Certificate Authority(ACM PCA)을 생성했습니다. 해당 ACM PCA를 다른 AWS 계정과 공유하여 인증서를 발급할 수 있는지 알고 싶습니다.

간략한 설명


AWS Resource Access Manager(AWS RAM)를 사용하여 다른 AWS 계정과 리소스 공유를 생성하기 위해 ACM PCA를 공유할 수 있습니다. 또한 다음과 같은 다른 엔티티와 ACM PCA를 공유할 수도 있습니다.

  • 기타 주체(예: AWS Identify and Access Management(IAM) 사용자 및 IAM 역할).
  • 조직 단위(OU).
  • 계정이 속한 전체 AWS 조직.

ACM PCA 공유를 사용하면 다른 계정의 사용자 및 역할이 공유 PCA에서 서명한 비공개 x509 인증서를 발급할 수 있습니다.

해결 방법

ACM PCA가 있는 계정에서 AWS RAM 공유를 만듭니다.

사용 사례 예시

계정 A에 기존 ACM PCA가 있고 이를 계정 B와 공유하려고 합니다.

참고: AWS RAM은 지역 서비스이고 리소스 공유는 지역입니다. 다른 AWS 계정의 주체와 리소스 공유를 하려면 리소스 공유가 생성된 동일한 AWS 리전의 리소스에 액세스해야 합니다.

  1. 계정 A에서 AWS RAM에 리소스 공유를 생성합니다. 지침은 AWS RAM에 리소스 공유 생성하기의 콘솔 지침을 참조하세요.

    참고: 2단계에서: 관리되는 권한을 각 리소스 유형에 연결하고 발급하려는 인증서 유형에 대한 권한을 선택합니다. 예를 들면 다음과 같습니다.
    기본 인증서 템플릿 **arn:aws:acm-pca:::template/EndEntityCertificate/V1:**를 사용하여 최종 엔터티 인증서를 발급하려면 기본 권한 AWSRAMDefaultPermissionCertificateAhority를 선택합니다.
    인증서 템플릿 **arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1:**를 사용하여 하위 인증서(PathLen0)를 발급하려면 AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority를 선택합니다.

  2. 공유 계정(이 예에서는 계정 B)에서 공유 리소스를 수락합니다. AWS 조직과 공유하는 경우(AWS 조직 내에서 리소스 공유가 켜져 있는 경우) 6단계로 건너뛸 수 있습니다.

  3. 공유 계정(이 예제에서는 계정 B)에서 1단계와 동일한 리전에서 AWS RAM 콘솔을 엽니다.

  4. 나와 공유됨에서 리소스 공유를 선택합니다. 보류 중인 공유 초대가 표시됩니다.

  5. 공유 리소스의 이름을 선택한 다음 리소스 공유 수락을 선택합니다. 공유를 수락하면 공유가 활성으로 표시됩니다.

  6. 공유 계정(이 예에서는 계정 B)에서 PCA가 위치한 리전에서 ACM PCA 콘솔을 엽니다. 계정에 공유 PCA가 표시됩니다. 공유 PCA를 사용하여 개인 x509 인증서를 발급할 수 있습니다.

관련 정보

AWS RAM을 사용하여 ACM 비공개 CA 교차 계정을 공유하는 방법

AWS 공식
AWS 공식업데이트됨 5달 전