本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 与 ACM 集成的服务 AWS Certificate Manager 支持越来越多的 AWS 服务。您不能将您的 ACM 证书或私有 AWS 私有 CA 证书直接安装在您的网站 AWS 或应用程序上。 **注意** 公共 ACM 证书可以安装在连接到 [Nitro](#acm-nitro-enclave) Enclave 的 Amazon EC2 实例上。您也可以[导出公有证书](export-public-certificate.md),以便在任何 Amazon EC2 实例上使用。有关在未连接到 Nitro Enclave 的亚马逊 EC2 实例上设置独立 Web 服务器的信息,请参阅[教程:在 Amazon Linux 2 上安装 LAMP 网络服务器或教程:使用亚马逊 Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-lamp-amazon-linux-2.html) [AMI 安装 LAMP 网络服务器](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-LAMP.html)。 ACM 证书受以下服务支持: **Elastic Load Balancing** Elastic Load Balancing 会自动将您的传入应用程序流量分配到多个亚马逊 EC2 实例。它会检测运行不正常的实例,并将流量重新路由到运行正常的实例,直至运行不正常的实例恢复为止。Elastic Load Balancing 自动扩展其请求处理容量以应对传入流量。有关负载均衡的更多信息,请参阅 [Elastic Load Balancing 用户指南](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/)。 通常,为了通过SSL/TLS, load balancers require that SSL/TLS证书提供安全内容,应安装在负载均衡器或后端 Amazon EC2 实例上。ACM 与 Elastic Load Balancing 集成以在负载均衡器上部署 ACM 证书。有关更多信息,请参阅[创建 Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html) **亚马逊 CloudFront** Amazon CloudFront 是一项网络服务,它通过从全球边缘站点网络交付您的内容,加快向最终用户分发动态和静态网页内容的速度。当最终用户请求您提供的内容时 CloudFront,该用户将被路由到延迟最低的边缘站点。这样可以确保尽可能以最佳性能传输内容。如果内容当前位于该边缘位置,则立即 CloudFront 交付。如果内容当前不在该边缘位置,则会将其从您已确定为最终内容来源的 Amazon S3 存储桶或 Web 服务器中 CloudFront 检索。有关更多信息 CloudFront,请参阅《[Amazon CloudFront 开发者指南》](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/)。 要通过SSL/TLS, CloudFront requires that SSL/TLS证书提供安全的内容,请安装在 CloudFront 分发版或支持的内容源上。ACM 已与集成, CloudFront 以便在发行版上部署 ACM 证书。 CloudFront 有关更多信息,请参阅[获取 SSL/TLS 证书](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html#cnames-and-https-getting-certificates)。 要将 ACM 证书与一起使用 CloudFront,您必须在美国东部(弗吉尼亚北部)地区申请或导入证书。 **Amazon Elastic Kubernetes Service** Amazon Elastic Kubernetes Service 是一项托管 Kubernetes 服务,无需安装、操作和维护自己的 Kubernetes 控制平面即可轻松运行 Kubernetes AWS 。有关亚马逊 EKS 的更多信息,请参阅亚马逊 E [lastic Kubernetes 服务用户指南]()。 你可以使用 ACM 和适用于 Kubernetes 的 AWS 控制器 (ACK),向你的 Kubernetes 工作负载颁发和导出 TLS 证书。这种集成使您能够保护 Amazon EKS 容器并在您的 Kubernetes 入口或负载均衡器上终止 TLS。 AWS ACM 会自动续订证书,ACK 控制器会使用续订的证书更新您的 Kubernetes 密钥。有关更多信息,请参阅 [使用 ACM 证书保护 Kubernetes 工作负载](exportable-certificates-kubernetes.md)。 **Amazon Cognito** Amazon Cognito 为您的 Web 和移动应用程序提供身份验证、授权和用户管理。用户可以使用您的 AWS 账户 凭据直接登录,也可以通过第三方登录,例如Facebook、亚马逊、谷歌或苹果。有关 Amazon Cognito 的更多信息,请参阅[《Amazon Cognito 开发人员指南》](https://docs.aws.amazon.com/cognito/latest/developerguide/)。 当您将 Cognito 用户池配置为使用 Amazon CloudFront 代理时, CloudFront 可以设置 ACM 证书来保护自定义域。在这种情况下,请注意,必须先删除证书与的关联, CloudFront 然后才能将其删除。 **AWS Elastic Beanstalk** Elastic Beanstalk 可帮助您在云端部署和管理应用程序 AWS ,而不必担心运行这些应用程序的基础架构。 AWS Elastic Beanstalk 降低了管理复杂性。您只需上载应用程序,Elastic Beanstalk 将自动处理有关容量预置、负载均衡、扩展和运行状况监控的部署详细信息。Elastic Beanstalk 使用 Elastic Load Balancing 服务创建负载均衡器。有关 Elastic Beanstalk 的更多信息,请参阅 [AWS Elastic Beanstalk 开发人员指南](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/)。 若要选择证书,您必须在 Elastic Beanstalk 控制台中为您的应用程序配置负载均衡器。有关更多信息,请参阅[配置 Elastic Beanstalk 环境的负载均衡器以终止 HTTPS](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/configuring-https-elb.html)。 **AWS App Runner** App Runner 是一项 AWS 服务,它提供了一种快速、简单且经济实惠的方式,可将源代码或容器映像直接部署到 AWS 云中可扩展且安全的 Web 应用程序。您无需学习新技术、决定使用哪种计算服务,也不需要知道如何预置和配置 AWS 资源。有关 App Runner 的更多信息,请参阅 [AWS App Runner 开发人员指南](https://docs.aws.amazon.com/apprunner/latest/dg/)。 当您将自定义域名与 App Runner 服务关联时,App Runner 会在内部创建用于跟踪域有效性的证书。它们都存储在 ACM 中。在域与您的服务取消关联或服务被删除后七天内,App Runner 不会删除这些证书。整个过程自动执行,您无需自行添加或管理任何证书。有关更多信息,请参阅 *AWS App Runner 开发人员指南*中的[管理 App Runner 服务的自定义域名](https://docs.aws.amazon.com/apprunner/latest/dg/manage-custom-domains.html)。 **Amazon API Gateway** 随着移动设备的普及和物联网 (IoT) 的发展,创建 APIs 可用于访问数据和与后端系统交互的设备变得越来越普遍。 AWS您可以使用 API Gateway 发布、维护、监控和保护您的 APIs。将 API 部署到 API Gateway 后,您可以[设置自定义域名](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html)以简化对它的访问。要设置自定义域名,您必须提供 SSL/TLS 证书。您可以使用 ACM 生成或导入证书。有关 Amazon API Gateway 的更多信息,请参阅[《Amazon API Gateway 开发人员指南》](https://docs.aws.amazon.com/apigateway/latest/developerguide/)。 **AWS 硝基飞地** AWS Nitro Enclaves 是一项亚马逊 EC2 功能,允许您从亚马逊实例创建隔离的执行环境,称为*安全*区。 EC2Enclave 是独立的、强化的和高度受限的虚拟机。它们仅提供与父实例的安全本地套接字连接。它们没有持久性存储、交互式访问或外部联网。用户无法通过 SSH 进入 Enclave,并且父实例的进程、应用程序或用户(包括根用户或管理员)无法访问该 Enclave 内部的数据和应用程序。 EC2 连接到 Nitro Enclaves 的实例支持 ACM 证书。有关更多信息,请参阅[用于 Nitro Enclaves 的AWS Certificate Manager](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave-refapp.html)。 您不能将 ACM 证书与未连接到 Nitro Enclave 的 EC2 实例相关联。 **AWS CloudFormation** CloudFormation 帮助您建模和设置亚马逊 Web Services 资源。您可以创建一个描述要使用的 AWS 资源的模板,例如 Elastic Load Balancing 或 API Gateway。然后, CloudFormation 将负责为您预置和配置这些资源。您无需单独创建和配置 AWS 资源,也不需要弄清楚哪些资源依赖于什么; CloudFormation 可以处理所有这些。ACM 证书作为模板资源提供,这意味着它 CloudFormation 可以请求 ACM 证书,您可以将这些证书与 AWS 服务一起使用以启用安全连接。此外,您可以设置的许多 AWS 资源中都包含了 ACM 证书。 CloudFormation 有关的一般信息 CloudFormation,请参阅《[CloudFormation 用户指南》](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/)。有关支持的 ACM 资源的信息 CloudFormation,请参阅[AWS::CertificateManager::Certificate](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-certificatemanager-certificate.html)。 借助提供的强大自动化功能 CloudFormation,很容易超过您的[证书配额](https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html),对于新 AWS 账户尤其如此。我们建议您遵循以下方面的 ACM [最佳实践](https://docs.aws.amazon.com/acm/latest/userguide/acm-bestpractices.html#best-practices-cloudformation)。 CloudFormation 如果您使用创建 ACM 证书,则 CloudFormation 堆栈将保持 CloudFormation C **REATE\_IN\_** PROGRESS 状态。任何进一步的堆栈操作将被延迟,直到您按照证书验证电子邮件中的说明操作为止。有关更多信息,请参阅[资源在创建、更新或删除堆栈操作期间无法稳定工作](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-resource-did-not-stabilize)。 **AWS Amplify** Amplify 是一组专门构建的工具和功能,使前端 Web 和移动开发人员能够快速轻松地在其上构建全栈应用程序。 AWS Amplify 提供两项服务:Amplify Hosting 和 Amplify Studio。Amplify Hosting 提供了基于 git 的工作流,用于托管持续部署的全栈无服务器 Web 应用程序。Amplify Studio 是一个直观的开发环境,可简化可扩展的全栈 Web 和移动应用程序的创建。使用 Studio 使用一组界面组件构建前端 ready-to-use用户界面,创建应用程序后端,然后将两者连接在一起。有关 Amplify 的更多信息,请参阅《[AWS Amplify](https://docs.aws.amazon.com/amplify/latest/userguide/welcome.html) 用户指南》。 如果您将自定义域连接到应用程序,Amplify 控制台将颁发一个 ACM 证书来保护该域。 **亚马逊 OpenSearch 服务** Amazon S OpenSearch ervice 是一个搜索和分析引擎,用于日志分析、实时应用程序监控和点击流分析等用例。有关更多信息,请参阅《[亚马逊 OpenSearch 服务开发者指南》](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/)。 创建包含[自定义域和终端节点](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/customendpoint.html)的 OpenSearch 服务集群时,可以使用 ACM 为关联的 Application Load Balancer 配置证书。 **AWS Network Firewall** AWS Network Firewall 是一项托管服务,可让您轻松为所有 Amazon 虚拟私有云部署基本网络保护 (VPCs)。有关更多信息,请参阅 [AWS Network Firewall 开发人员指南](https://docs.aws.amazon.com/network-firewall/latest/developerguide/)。 Network Firewall 防火墙与 ACM 集成,用于进行 TLS 检查。如果您在 Network Firewall 中使用 TLS 检查,则必须配置 ACM 证书,以便对通过防火墙的 SSL/TLS 流量进行解密和重新加密。有关 Network Firewall 如何与 ACM 配合使用进行 TLS 检查的信息,请参阅*《AWS Network Firewall 开发人员指南》*中的 “[使用 SSL/TLS 具有 TLS 检查配置的证书的要求](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tls-inspection-certificate-requirements.html)”。