Wie teile ich meine ACM Private Certificate Authority mit einem anderen AWS-Konto?

Lesedauer: 2 Minute
0

Ich habe in einem AWS-Konto eine Private Certificate Authority (ACM PCA) für AWS Certificate Manager (ACM) erstellt. Kann ich es mit einem anderen AWS-Konto teilen, um Zertifikate auszustellen?

Kurzbeschreibung

Sie können eine Ressourcenfreigabe mit AWS Resource Access Manager (AWS RAM) erstellen, um eine ACM PCA mit einem anderen AWS-Konto zu teilen. Darüber hinaus können Sie einen ACM PCA teilen mit:

  • Anderen Prinzipalen, wie Benutzern von AWS Identify and Access Management (IAM)-Benutzer und IAM-Rollen.
  • Organisationseinheiten (OUs).
  • Der gesamten AWS-Organisation, in der Ihr Konto Mitglied ist.

Durch die Freigabe Ihrer ACM PCA können Benutzer und Rollen in anderen Konten private x509-Zertifikate ausstellen, die von der gemeinsam genutzten PCA signiert wurden.

Auflösung

Erstellen Sie eine AWS-RAM-Freigabe in dem Konto, in dem sich Ihre ACM PCA befindet.

Beispiel

Sie haben bereits eine ACM PCA in Konto A. Sie möchten sie mit Konto B teilen.

  1. Erstellen Sie in Konto A eine Ressourcenfreigabe in AWS RAM. Ausführliche Anweisungen finden Sie in den Anweisungen zur Konsole unter Erstellen einer Ressourcenfreigabe.
    Hinweis: Wählen Sie in Schritt 2: Zuordnen einer Berechtigung mit jedem Ressourcentyp die Berechtigung für den Typ der Zertifikate aus, die Sie ausstellen möchten. Zum Beispiel:
    Um Endteilnehmer-Zertifikate mit der Standard-Zertifikatsvorlage arn:aws:acm-pca:::template/EndEntityCertificate/V1 auszustellen: wählen Sie die Standard-Berechtigung AWSRAMDefaultPermissionCertificateAuthority.
    Um ein untergeordnetes Zertifikat (PathLen0) unter Verwendung der Zertifikatsvorlage arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1: auszustellen, wählen Sie AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority.
  2. Akzeptieren Sie die geteilte Ressource in Ihrem geteilten Konto (in diesem Beispiel Konto B). Wenn Sie mit AWS Organizations teilen (mit aktivierter Ressourcenfreigabe innerhalb der AWS-Organisation), können Sie mit Schritt 6 fortfahren.
  3. Öffnen Sie im gemeinsam genutzten Konto (in diesem Beispiel Konto B) die AWS-RAM-Konsole in derselben Region wie in Schritt 1.
  4. Wählen Sie unter Mit mir geteilt die Option Ressourcenfreigaben aus. Sie sehen die ausstehende Einladung zum Teilen.
  5. Wählen Sie den Namen der freigegebenen Ressource aus, und wählen Sie dann Ressourcenfreigabe akzeptieren aus. Nach Annahme der Aktie wird die Aktie als Aktiv aufgeführt.
  6. Öffnen Sie im gemeinsam genutzten Konto (in diesem Beispiel Konto B) die ACM-PCA-Konsole in der Region, in der sich der PCA befindet. Sie sehen die gemeinsam genutzte PCA in Ihrem Konto. Sie können beginnen, private x509-Zertifikate mithilfe des gemeinsam genutzten PCA auszustellen.

Relevante Informationen

So verwenden Sie AWS RAM, um Ihre ACM Private CA kontoübergreifend zu teilen

Erstellen einer Ressourcenfreigabe im AWS RAM

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Jahren