Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso

Como faço para compartilhar minha autoridade de certificação privada do ACM com outra conta da AWS?

3 minuto de leitura
0

Criei uma autoridade de certificação privada (ACM PCA) do AWS Certificate Manager (ACM) em uma conta da AWS. Quero saber se posso compartilhar essa ACM PCA com outra conta da AWS para emitir certificados.

Breve descrição

Você pode usar o AWS Resource Access Manager (AWS RAM) para compartilhar um ACM PCA para criar um compartilhamento de recursos com outra conta da AWS. Você também pode compartilhar um ACM PCA com outras entidades, como as seguintes:

  • Outros diretores, como usuários do AWS Identity and Access Management (IAM) e perfis do IAM.
  • Unidades organizacionais (OUs).
  • Toda a organização da AWS da qual sua conta é membro.

Seu compartilhamento ACM PCA permite que usuários e funções em outras contas emitam certificados x509 privados assinados pelo PCA compartilhado.

Resolução

Crie um compartilhamento de RAM da AWS na conta em que seu ACM PCA reside.

Exemplo de caso de uso

Você tem um ACM PCA existente na Conta A e deseja compartilhá-lo com a Conta B.

Observação: o AWS RAM é um serviço regional e um compartilhamento de recursos é regional. Os compartilhamentos de recursos do ACM PCA com diretores em outras contas da AWS devem acessar recursos da mesma região da AWS em que foram criados.

  1. Na Conta A, crie um compartilhamento de recursos na AWS RAM. Para obter instruções, consulte as instruções do console em Criar um compartilhamento de recursos na AWS RAM.

    Observação: na Etapa 2: associe uma permissão gerenciada a cada tipo de recurso, escolha a permissão para o tipo de certificado que você deseja emitir. Por exemplo:
    Para emitir certificados de entidade final com o modelo de certificado padrão arn:aws:acm-pca:::template/EndEntityCertificate/V1: escolha a permissão padrão AWSRAMDefaultPermissionCertificateAuthority.
    Para emitir um certificado subordinado (PathLen0) com o modelo de certificado arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1: escolha AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority.

  2. Aceite o recurso compartilhado em sua conta compartilhada (Conta B, neste exemplo). Se você compartilha com o AWS Organizations (com o compartilhamento de recursos dentro da AWS Organization ativado), você pode pular para a etapa 6.

  3. Na conta compartilhada (Conta B, neste exemplo), abra o console da AWS RAM na mesma região da etapa 1.

  4. Em Compartilhado comigo, selecione Compartilhamentos de recursos. É possível ver o convite de compartilhamento pendente.

  5. Selecione o nome do recurso compartilhado e escolha Aceitar compartilhamento de recursos. Depois de aceitar o compartilhamento, o compartilhamento aparecerá como Ativo.

  6. Na conta compartilhada (Conta B, neste exemplo), abra o console do ACM PCA na região em que o PCA está localizado. É possível ver o PCA compartilhado em sua conta. Você pode usar o PCA compartilhado para emitir certificados x509 privados.

Informações relacionadas

Como usar a AWS RAM para compartilhar sua conta cruzada de CA privada do ACM

AWS OFICIAL
AWS OFICIALAtualizada há 5 meses