

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Condizioni di utilizzoAWS Private CAper firmare certificati privati ACM
<a name="ca-access"></a>

Puoi utilizzarli CA privata AWS per firmare i tuoi certificati ACM in uno dei due casi seguenti:
+ **Account singolo**: la CA che firma e il certificato AWS Certificate Manager (ACM) emesso risiedono nello stesso account. AWS

  Per abilitare l'emissione e i rinnovi di account singoli, l'amministratore di CA privata AWS deve concedere l'autorizzazione al principale del servizio ACM per creare, recuperare ed elencare i certificati. [Questa operazione viene eseguita utilizzando l'azione CA privata AWS API [CreatePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreatePermission.html)o il AWS CLI comando create-permission.](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) Il proprietario dell'account assegna queste autorizzazioni a un utente, gruppo o ruolo IAM responsabile del rilascio dei certificati.
+ **Cross-account**: La CA firmataria e il certificato ACM emesso risiedono in AWS account diversi e l'accesso alla CA è stato concesso all'account in cui risiede il certificato.

  [Per consentire l'emissione e il rinnovo tra più account, l'CA privata AWSamministratore deve allegare alla CA una policy basata sulle risorse utilizzando l'azione API o il comando put-policy. CA privata AWS[PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html)AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html) La policy specifica le entità principali degli altri account a cui è consentito l'accesso limitato alla CA. Per ulteriori informazioni, consulta [Utilizzo di una policy basata sulle risorse con ACM Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/pca-rbp.html). 

  Lo scenario tra più account richiede inoltre che ACM configuri un ruolo collegato ai servizi (SLR) per interagire come entità principale con la policy PCA. ACM crea automaticamente il SLR durante il rilascio del primo certificato. 

  ACM potrebbe avvisarti che non è in grado di determinare se esiste un SLR sul tuo account. Se l'autorizzazione `iam:GetRole` richiesta è già stata concessa ad ACM SLR per il tuo account, l'avviso non si ripeterà dopo la creazione del SLR. Se si ripresenta, tu o il tuo amministratore dell'account potreste dover concedere l'`iam:GetRole`autorizzazione ad ACM o associare il vostro account alla politica. ACM-managed `AWSCertificateManagerFullAccess`

  Per ulteriori informazioni consulta [Utilizzo di un ruolo collegato ai servizi con ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html). 

**Importante**  
Il certificato ACM deve essere associato attivamente a un AWS servizio supportato prima di poter essere rinnovato automaticamente. Per ulteriori informazioni sulle risorse supportate da ACM, consultare [Automazione gestita con servizi integrati](acm-services.md). 