AWS 계정 하나에 AWS Certificate Manager(ACM) 사설 인증 권한(ACM PCA)을 생성했습니다. 다른 AWS 계정과 공유하여 인증서를 발급할 수 있습니까?
간략한 설명
AWS Resource Access Manager(AWS RAM)를 사용해 리소스 공유를 생성하여 ACM PCA를 다른 AWS 계정과 공유할 수 있습니다. 또한 ACM PCA를 다음과 공유할 수 있습니다.
- AWS Identify and Access Management(IAM) 사용자 및 IAM 역할 같은 기타 보안 주체
- 조직 단위(OU)
- 계정이 속해 있는 전체 AWS 조직
ACM PCA를 공유하면 다른 계정의 사용자와 역할이 공유 PCA에서 서명한 사설 x509 인증서를 발급할 수 있습니다.
해결 방법
ACM PCA가 상주하는 계정에 AWS RAM 공유를 생성합니다.
예시
계정 A에 기존 ACM PCA가 있습니다. 그것을 계정 B와 공유하려고 합니다.
- 계정 A에서 AWS RAM에 리소스 공유를 생성합니다. 자세한 지침은 리소스 공유 생성의 콘솔 지침을 참조하세요.
참고: 2단계: 각 리소스 유형에 권한 연결에서 발급하려는 인증서 유형에 대한 권한을 선택합니다. 예:
기본 인증서 템플릿 **arn:aws:acm-pca:::template/EndEntityCertificate/V1:**을 사용하여 최종 엔터티 인증서를 발급하려면 기본 권한 AWSRAMDefaultPermissionCertificateAuthority를 선택합니다.
인증서 템플릿 **arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1:**을 사용하여 하위 인증서(PathLen0)를 발급하려면 AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority를 선택합니다.
- 공유 계정(이 예에서는 계정 B)에서 공유 리소스를 수락합니다. AWS Organizations와 공유하는 경우(AWS Organizations 내 리소스 공유가 켜져 있음) 6단계로 건너뛸 수 있습니다.
- 공유 계정(이 예에서는 계정 B)에서 1단계와 동일한 리전에서 AWS RAM 콘솔을 엽니다.
- **나와 공유됨(Shared with me)**에서 **리소스 공유(Resource shares)**를 선택합니다. 대기 중인 공유 초대가 표시됩니다.
- 공유 리소스의 이름을 선택한 다음 리소스 공유 수락을 선택합니다. 공유를 수락하면 공유가 활성으로 나열됩니다.
- 공유 계정(이 예에서는 계정 B)에서 PCA가 위치한 리전의 ACM PCA 콘솔을 엽니다. 계정에 공유 PCA가 표시됩니다. 공유 PCA를 사용하여 사설 x509 인증서 발급을 시작할 수 있습니다.
관련 정보
AWS RAM을 사용하여 ACM Private CA 교차 계정을 공유하는 방법
AWS RAM에서 리소스 공유 생성