¿Cómo comparto mi ACM Private Certificate Authority con otra cuenta de AWS?

Descripción breve

Puede crear un recurso compartido con AWS Resource Access Manager (AWS RAM) para compartir una ACM PCA con otra cuenta de AWS. Además, puede compartir una ACM PCA con:

• Otras entidades principales, como los usuarios de AWS Identify and Access Management (IAM) y los roles de IAM.
• Unidades organizativas.
• Toda la organización de AWS de la que forma parte su cuenta.

Compartir su ACM PCA permite a los usuarios y roles de otras cuentas emitir certificados x509 privados firmados por la PCA compartida.

Resolución

Cree un recurso compartido de AWS RAM en la cuenta en la que reside su ACM PCA.

Ejemplo

Tiene una ACM PCA existente en la cuenta A y quiere compartirla con la cuenta B.

1. En la cuenta A, cree un recurso compartido en AWS RAM. Para obtener instrucciones detalladas, consulte las instrucciones de la consola en Creación de un recurso compartido.
   Nota: En Step 2: Associate a permission with each resource type (Paso 2: asociación de un permiso a cada tipo de recurso), elija el permiso para el tipo de certificados que quiere emitir. Por ejemplo:
   Para emitir certificados de entidad final con la plantilla de certificado predeterminada arn:aws:acm-pca:::template/EndEntityCertificate/V1: elija el permiso predeterminado AWSRAMDefaultPermissionCertificateAuthority.
   Para emitir un certificado subordinado (PathLen0) mediante la plantilla de certificado arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1:, elija AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority.
2. Acepte el recurso compartido en su cuenta compartida (cuenta B, en este ejemplo). Si comparte con AWS Organizations (con el uso compartido de recursos en AWS Organizations activado), puede ir directamente al paso 6.
3. En la cuenta compartida (cuenta B, en este ejemplo), abra la consola de AWS RAM en la misma región que en el paso 1.
4. En Shared with me (Compartido conmigo), seleccione Resource shares (Recursos compartidos). Verá la invitación para compartir pendiente.
5. Seleccione el nombre del recurso compartido y, a continuación, elija Accept resource share (Aceptar recurso compartido). Después de aceptar la acción, esta aparece como Active (Activa).
6. En la cuenta compartida (cuenta B, en este ejemplo), abra la consola de ACM PCA en la región en la que se encuentra la PCA. Verá la PCA compartida en su cuenta. Puede empezar a emitir certificados x509 privados con la PCA compartida.

Información relacionada

How to use AWS RAM to share your ACM Private CA cross-account (Cómo usar AWS RAM para compartir su ACM Private CA entre cuentas)

Creación de un recurso compartido en AWS RAM