내 ACM 사설 인증 권한을 다른 AWS 계정과 공유하려면 어떻게 해야 합니까?

간략한 설명

AWS Resource Access Manager(AWS RAM)를 사용해 리소스 공유를 생성하여 ACM PCA를 다른 AWS 계정과 공유할 수 있습니다. 또한 ACM PCA를 다음과 공유할 수 있습니다.

• AWS Identify and Access Management(IAM) 사용자 및 IAM 역할 같은 기타 보안 주체
• 조직 단위(OU)
• 계정이 속해 있는 전체 AWS 조직

ACM PCA를 공유하면 다른 계정의 사용자와 역할이 공유 PCA에서 서명한 사설 x509 인증서를 발급할 수 있습니다.

해결 방법

ACM PCA가 상주하는 계정에 AWS RAM 공유를 생성합니다.

예시

계정 A에 기존 ACM PCA가 있습니다. 그것을 계정 B와 공유하려고 합니다.

1. 계정 A에서 AWS RAM에 리소스 공유를 생성합니다. 자세한 지침은 리소스 공유 생성의 콘솔 지침을 참조하세요.
   참고: 2단계: 각 리소스 유형에 권한 연결에서 발급하려는 인증서 유형에 대한 권한을 선택합니다. 예:
   기본 인증서 템플릿 **arn:aws:acm-pca:::template/EndEntityCertificate/V1:**을 사용하여 최종 엔터티 인증서를 발급하려면 기본 권한 AWSRAMDefaultPermissionCertificateAuthority를 선택합니다.
   인증서 템플릿 **arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1:**을 사용하여 하위 인증서(PathLen0)를 발급하려면 AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority를 선택합니다.
2. 공유 계정(이 예에서는 계정 B)에서 공유 리소스를 수락합니다. AWS Organizations와 공유하는 경우(AWS Organizations 내 리소스 공유가 켜져 있음) 6단계로 건너뛸 수 있습니다.
3. 공유 계정(이 예에서는 계정 B)에서 1단계와 동일한 리전에서 AWS RAM 콘솔을 엽니다.
4. **나와 공유됨(Shared with me)**에서 **리소스 공유(Resource shares)**를 선택합니다. 대기 중인 공유 초대가 표시됩니다.
5. 공유 리소스의 이름을 선택한 다음 리소스 공유 수락을 선택합니다. 공유를 수락하면 공유가 활성으로 나열됩니다.
6. 공유 계정(이 예에서는 계정 B)에서 PCA가 위치한 리전의 ACM PCA 콘솔을 엽니다. 계정에 공유 PCA가 표시됩니다. 공유 PCA를 사용하여 사설 x509 인증서 발급을 시작할 수 있습니다.

---

관련 정보

AWS RAM을 사용하여 ACM Private CA 교차 계정을 공유하는 방법

AWS RAM에서 리소스 공유 생성