Stay up to date with the latest from the Knowledge Center. See all new Knowledge Center articles published in the last month, and re:Post's top contributors.
Come posso condividere la CA privata che ho creato in Autorità privata per la gestione del certificato AWS con un altro account?
Ho utilizzato Autorità privata per la gestione del certificato AWS per creare un'autorità di certificazione (CA) privata in un account AWS. Desidero condividere la CA privata con un altro account per l'emissione di certificati.
Breve descrizione
Per condividere una CA privata con un altro account, crea una condivisione di risorse utilizzando AWS Resource Access Manager (AWS RAM).
Puoi anche condividere una CA privata con le seguenti entità:
- Altri principali, come utenti e ruoli AWS Identify and Access Management (AWS IAM)
- Unità organizzative (UO)
- Intera organizzazione di AWS Organizations
Quando condividi una CA privata, gli utenti e i ruoli di altri account possono emettere certificati x509 privati che vengono firmati dalla CA privata condivisa.
Risoluzione
Crea una condivisione di risorse in AWS RAM nell'account in cui si trova la CA privata.
Nota: AWS RAM è un servizio Regionale AWS e una condivisione di risorse è Regionale. Deve accedere alla condivisione di risorse della CA privata dalla stessa Regione in cui è stata creata.
Per condividere una CA privata con un altro account, completa i seguenti passaggi:
- Crea una condivisione di risorse in AWS RAM nell'account che ha la CA privata.
Nota: quando crei la condivisione di risorse, scegli l'autorizzazione corretta per il tipo di certificato che desideri emettere. Ad esempio, per emettere certificati di entità finale con il modello di certificato predefinito arn:aws:acm-pca:::template/EndEntityCertificate/V1, scegli l'autorizzazione predefinita AWSRAMDefaultPermissionCertificateAuthority. Per emettere un certificato subordinato (PathLEN0) con il modello di certificato arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1, scegli AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority. - Accetta la risorsa condivisa nell'altro account. Se per la condivisione utilizzi Organizations e hai attivato la condivisione di risorse all'interno di Organizations, vai al passaggio 6.
- Nell'altro account, apri la console AWS RAM nella stessa Regione in cui si trova la CA privata.
- In Condiviso con me, scegli Condivisioni di risorse per visualizzare l'invito.
- Seleziona il nome della risorsa condivisa, quindi scegli Accetta la condivisione di risorse.
Nota: dopo aver accettato la condivisione, lo stato diventa Attivo. - Nell'altro account, apri la console AWS Private CA nella Regione in cui si trova la CA privata condivisa dal tuo account per visualizzarla.
Informazioni correlate
How to use AWS RAM to share your ACM Private CA cross-account (Utilizzo di AWS RAM per la condivisione multi-account di Autorità privata per la gestione del certificato AWS (ACM)
