本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

为用户创建单账户IAM权限

当 CA 管理员（即 CA 的所有者）和证书颁发者居住在同一个 AWS 账户中时，最佳做法是通过创建权限有限的 AWS Identity and Access Management (IAM) 用户将颁发者和管理员角色分开。有关IAM与一起 AWS 私有 CA使用的信息以及权限示例，请参阅Identity and Access Managemen IAM t () 适用于 AWS Private Certificate Authority。

单账户案例 1：颁发非托管证书

在这种情况下，账户所有者创建一个私有 CA，然后创建一个有权颁发由私有 CA 签名的证书的IAM用户。IAM用户通过调用来颁发证书 AWS 私有 CA IssueCertificateAPI。

以这种方式颁发的证书未托管，这意味着管理员必须将其导出并安装在要使用的设备上。这些证书过期时还必须手动续订。使用它颁发证书API需要证书签名请求 (CSR) 和 AWS 私有 CA 由 Ope n SSL 或类似程序之外生成的 key pair。有关更多信息，请参阅 IssueCertificate 文档。

单账户案例 2：通过以下方式颁发托管证书 ACM

第二种情况涉及来自ACM和的API操作PCA。账户所有者像以前一样创建私有 CA 和IAM用户。然后，账户所有者向ACM服务主体授予自动续订由此 CA 签署的所有证书的权限。IAM用户再次颁发证书，但这次是通过调用 ACM RequestCertificateAPI，后者负责处理CSR和密钥生成。证书到期后，ACM自动执行续订工作流程。

账户所有者可以选择在创建 CA 期间或之后通过管理控制台授予续订权限，或者使用PCACreatePermissionAPI。通过此工作流程创建的托管证书可用于与集成的 AWS 服务ACM。

下一节包含授予续订权限的过程。

将证书续订权限分配给 ACM

使用 AWS Certificate Manager (ACM) 中的托管续订，您可以自动执行公有和私有证书的证书续订流程。ACM为了自动续订私有 CA 生成的证书，C A 本身必须向ACM服务主体授予所有可能的权限。如果没有这些续订权限ACM，则每份私有证书到期后，CA 的所有者（或授权代表）必须手动补发每份私有证书。

续订权限可在私有 CA 创建期间委派，并且只要 CA 处于 ACTIVE 状态，即可在任何时间更改。

您可以通过AWS 私有 CA 控制台、AWS Command Line Interface (AWS CLI) 或 AWS 私有 CA API：管理私有 CA 权限

在 AWS 私有 CA (AWS CLI) 中管理ACM权限

使用 create-permis sion 命令为分配权限。ACM要自动续订证书 IssueCertificateGetCertificate，必须分配必要的权限（、和ListPermissions）。ACM

$ aws acm-pca create-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --actions IssueCertificate GetCertificate ListPermissions \
     --principal acm.amazonaws.com

使用 list-permissions 命令列出 CA 委派的权限。

$ aws acm-pca list-permissions \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID

使用 delete-per mission 命令撤消 CA 分配给服务主体的权限。 AWS

$ aws acm-pca delete-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --principal acm.amazonaws.com