Comment partager l’autorité de certification privée ACM avec un autre compte AWS ?

Dernière mise à jour : 21/06/2022

J'ai créé une autorité de certification privée AWS Certificate Manager (ACM) (ACM PCA) dans un compte AWS. Puis-je la partager avec un autre compte AWS pour émettre des certificats ?

Brève description

Vous pouvez créer un partage de ressources à l'aide d'AWS Resource Access Manager (AWS RAM) pour partager une ACM PCA avec un autre compte AWS. En outre, vous pouvez partager une ACM PCA avec :

  • d'autres principaux, tels que les utilisateurs AWS Identify and Access Management (IAM) et les rôles IAM.
  • des unités d'organisation (UO).
  • l'ensemble de l'organisation AWS dont votre compte est membre.

Le partage de votre ACM PCA permet aux utilisateurs et aux rôles d'autres comptes d'émettre des certificats x509 privés signés par le PCA partagé.

Solution

Créez un partage d’AWS RAM dans le compte où réside votre ACM PCA.

Exemple

Vous avez déjà une ACM PCA dans le compte A. Vous souhaitez la partager avec le compte B.

  1. Dans le compte A, créez un partage de ressources dans AWS RAM. Pour obtenir des instructions détaillées, consultez les instructions de la console dans la section Création d'un partage de ressources.
    Remarque : Dans l’ Étape 2 : Associez une autorisation à chaque type de ressource, choisissez l'autorisation pour le type de certificats que vous souhaitez émettre. Par exemple :
    Pour émettre des certificats d'entité finale avec le modèle de certificat par défaut arn:aws:acm-pca:::template/EndEntityCertificate/V1: choisissez l'autorisation par défaut AWSRAMDefaultPermissionCertificateAuthority.
    Pour émettre un certificat subordonné (PathLen0) à l'aide du modèle de certificat arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1: choisissez AWSRAMSubordinateCACertificatePathlen0IssuanceCertificateAuthority.
  2. Acceptez la ressource partagée dans votre compte partagé (compte B, dans cet exemple). Si vous partagez avec AWS Organizations (avec le partage de ressources activé dans AWS Organizations), vous pouvez passer à l'étape 6.
  3. Dans le compte partagé (compte B, dans cet exemple), ouvrez la console AWS RAM dans la même région que l'étape 1.
  4. Sous Shared with me (Partagé avec moi), sélectionnez Resource shares (Partage de ressources). L'invitation de partage en attente s'affiche.
  5. Sélectionnez le nom de la ressource partagée, puis choisissez Accept resource share (Accepter le partage de ressources). Après avoir accepté le partage, celui-ci est répertorié comme actif.
  6. Dans le compte partagé (compte B, dans cet exemple), ouvrez la console ACM PCA dans la région où se trouve l’autorisation PCA. L’autorisation PCA partagée apparaît dans le compte. Vous pouvez commencer à émettre des certificats x509 privés à l'aide de l’autorisation PCA partagée.

Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?