本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Kubernetes 保护 AWS 私有证书颁发机构
<a name="PcaKubernetes"></a>

您可以使用提供证书 AWS 私有证书颁发机构 ，以便通过 TLS 和 mTLS 进行安全身份验证和加密。 AWS 私有 CA 为 [Kubernetes 广泛采用的证书管理器插件提供了一个开源插件，即 `aws-privateca-issuer` Kubernetes AWS 私有 CA 连接](https://github.com/cert-manager/aws-privateca-issuer)[器](https://cert-manager.io/docs/)，用于请求证书、将其分发到 Kubernetes 密钥并自动续订证书。

该`aws-privateca-issuer`插件允许您通过 AWS 私有 CA 颁发证书`cert-manager`。你可以将该插件与亚马逊 Elastic Kubernetes Service（Amazon EKS）一起使用，该集群是一个自行管理的 Kubernetes 集群，也可以在本地 Kubernetes 集群 AWS中使用。该插件同时适用于 x86 和 ARM 架构。

AWS 私有 CA 有 HSM 支持的密钥无法导出。如果您有控制访问权限和审计 CA 运营的监管要求，则可以使用 AWS 私有 CA 来提高可审计性并支持合规性。

**注意**  
如果您在 Amazon EKS 上运行，我们建议您使用`cert-manager`和`aws-privateca-connector-for-kubernetes`插件来获得托管安装体验。有关更多信息，请参阅[AWS 附加组件。](https://docs.aws.amazon.com/eks/latest/userguide/workloads-add-ons-available-eks.html#add-ons-aws-privateca-connector)