Come faccio a condividere la mia ACM Private Certificate Authority con un altro account AWS?

Ultimo aggiornamento: 21/06/2022

Ho creato una Private Certificate Authority (PCA) di Gestione certificati AWS (ACM) in un account AWS. Posso condividerlo con un altro account AWS per emettere certificati?

Breve descrizione

È possibile creare una condivisione di risorse utilizzando Gestione degli accessi alle risorse AWS (AWS RAM) per condividere un'ACM PCA con un altro account AWS. Inoltre, si può condividere un'ACM PCA con:

  • Altri principali, come gli utenti di AWS Identify and Access Management (IAM) e i ruoli IAM.
  • Unità organizzative (UO).
  • L'intera organizzazione AWS di cui fa parte il tuo account.

La condivisione dell'ACM PCA consente agli utenti e ai ruoli di altri account di emettere certificati x509 privati firmati dalla PCA condivisa.

Risoluzione

Crea una condivisione di AWS RAM nell'account in cui risiede la tua ACM PCA.

Esempio

Hai già un'ACM PCA nell'Account A. Desideri condividerla con l'Account B.

  1. Nell'Account A, crea una condivisione di risorse in AWS RAM. Per avere informazioni dettagliate, consulta le istruzioni della console in Creazione di una condivisione di risorse.
    Nota: nella fase 2: associa un'autorizzazione a ciascun tipo di risorsa, scegli l'autorizzazione per il tipo di certificati che desideri emettere. Ad esempio:
    Per emettere certificati di fine entità con il modello di certificato predefinito arn:aws:acm-pca:::template/EndEntityCertificate/V1:, scegli l'autorizzazione predefinita AWSRAMDefaultPermissionCertificateAuthority.
    Per emettere un certificato subordinato (PathLen0) utilizzando il modello di certificato arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1:, scegli AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority.
  2. Accetta la risorsa condivisa nel tuo account condiviso (Account B, in questo esempio). Se condividi con AWS Organizations (con l'opzione di condivisione delle risorse all'interno di AWS Organization attivata), puoi passare alla fase 6.
  3. Nell'account condiviso (Account B, in questo esempio), apri la console AWS RAM nella stessa regione della fase 1.
  4. In Condiviso con me, seleziona Condivisioni di risorse. Vedrai l'invito alla condivisione in sospeso.
  5. Seleziona il nome della risorsa condivisa, quindi scegli Accetta la condivisione di risorse. Dopo aver accettato la condivisione, la condivisione è elencata con stato Attivo.
  6. Nell'account condiviso (Account B, in questo esempio), apri la console ACM PCA nella regione in cui si trova la PCA. La PCA condivisa viene visualizzata nel tuo account. È possibile cominciare a emettere certificati x509 privati utilizzando la PCA condivisa.