기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
를 사용하여 ACM 프라이빗 인증서에 서명AWS Private CA하는 조건
다음 두 가지 경우 중 하나에서 AWS Private CA를 사용하여 ACM 인증서에 서명할 수 있습니다.
-
단일 계정: 서명하는 CA와 발급된 AWS Certificate Manager(ACM) 인증서가 동일한 AWS 계정에 상주합니다.
단일 계정 발급 및 갱신을 사용하려면, AWS Private CA 관리자가 ACM 서비스 보안 주체에 인증서를 생성, 검색 및 나열할 수 있는 권한을 부여해야 합니다. 이는 API 작업 CreatePermission 또는 AWS CLI명령 create-permission을 사용하여AWS Private CA 수행됩니다. 계정 소유자는 인증서 발급을 담당하는 IAM 사용자, 그룹 또는 역할에 이러한 권한을 할당합니다.
-
교차 계정: 서명 CA와 발급된 ACM 인증서는 서로 다른 AWS계정에 있으며 인증서가 있는 계정에 CA에 대한 액세스 권한이 부여되었습니다.
교차 계정 발급 및 갱신을AWS Private CA 활성화하려면 관리자가 AWS Private CAAPI 작업 PutPolicy 또는 AWS CLI명령 put-policy를 사용하여 CA에 리소스 기반 정책을 연결해야 합니다. 이 정책은 CA에 대해 제한된 액세스가 허용되는 다른 계정의 보안 주체를 지정합니다. 자세한 내용은 ACM Private CA에서 리소스 기반 정책 사용을 참조하세요.
계정 간 시나리오에서는 ACM이 PCA 정책과 보안 주체로서 상호 작용하는 서비스 연결 역할(SLR)을 설정해야 합니다. ACM은 첫 번째 인증서를 발급하는 동안 SLR을 자동으로 생성합니다.
이 경우 ACM은 계정에 SLR이 있는지 여부를 확인할 수 없다는 알림을 표시할 수 있습니다. 필요한
iam:GetRole권한이 이미 계정의 ACM SLR에 부여된 경우, SLR이 생성된 후 알림이 다시 표시되지 않습니다. 알림이 다시 표시될 경우 사용자 또는 계정 관리자가 ACM에iam:GetRole권한을 부여하거나 계정을 ACM 관리형 정책AWSCertificateManagerFullAccess에 연결해야 할 수 있습니다.자세한 내용은 ACM에서 서비스 연결 역할 사용을 참조하세요.
중요
ACM 인증서를 자동으로 갱신하려면 지원되는 AWS서비스와 적극적으로 연결해야 합니다. ACM이 지원하는 리소스에 대한 자세한 내용은 통합 서비스를 사용한 관리형 자동화 섹션을 참조하세요.