Como compartilho minha autoridade de certificação privada do ACM com outra conta da AWS?

Data da última atualização: 21/06/2022

Criei uma Autoridade de certificação privada do AWS Certificate Manager (ACM) (ACM PCA) em uma conta da AWS. Posso compartilhá-la com outra conta da AWS para emitir certificados?

Breve descrição

Você pode criar um compartilhamento de recursos usando o AWS Resource Access Manager (AWS RAM) para compartilhar uma ACM PCA com outra conta da AWS. Além disso, você pode compartilhar um ACM PCA com:

  • Outras entidades principais, como usuários do AWS Identify and Access Management (IAM) e perfis do IAM.
  • Unidades organizacionais (UOs).
  • Toda a organização da AWS da qual sua conta é membro.

O compartilhamento da ACM PCA permite que usuários e funções em outras contas emitam certificados x509 privados assinados pela PCA compartilhada.

Resolução

Crie um compartilhamento de RAM da AWS na conta em que sua ACM PCA reside.

Exemplo

Você tem uma ACM PCA existente na Conta A e deseja compartilhá-lo com a Conta B.

  1. Na Conta A, crie um compartilhamento de recursos no AWS RAM. Para obter instruções detalhadas, consulte as instruções do Console em Criar um compartilhamento de recursos.
    Observação: na Etapa 2: associar uma permissão a cada tipo de recurso, escolha a permissão para o tipo de certificado que você deseja emitir. Por exemplo:
    Para emitir certificados de entidade final com o modelo de certificado padrão arn:aws:acm-pca:::template/EndEntityCertificate/V1: escolha a permissão padrão AWSRAMDefaultPermissionCertificateAuthority.
    Para emitir um certificado subordinado (PathLen0) usando o modelo de certificado arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1:, escolha AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority.
  2. Aceite o recurso compartilhado na sua conta compartilhada (Conta B, neste exemplo). Se você compartilhar com o AWS Organizations (com o compartilhamento de recursos ativado no AWS Organizations), poderá pular para a etapa 6.
  3. Na conta compartilhada (Conta B, neste exemplo), abra o console do AWS RAM na mesma região da etapa 1.
  4. Em Shared with me (Compartilhados comigo), selecione Resource shares (Compartilhamentos de recursos). Você verá o convite de compartilhamento pendente.
  5. Selecione o nome do recurso compartilhado e escolha Accept resource share (Aceitar compartilhamento de recursos). Depois de aceitar o compartilhamento, este é listado como Active (Ativo).
  6. Na conta compartilhada (Conta B, neste exemplo), abra o console da ACM PCA na região em que a PCA está localizada. Você verá a PCA compartilhada na sua conta. Você poderá começar a emitir certificados x509 privados usando a PCA compartilhada.