本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
控制对私有 CA 的访问权限
任何对私有 CA 具有必要权限的用户都 AWS 私有 CA 可以使用该 CA 签署其他证书。CA 所有者可以颁发证书,也可以将颁发证书所需的权限委托给居住在相同的 AWS Identity and Access Management (IAM) 用户 AWS 账户。如果 CA 所有者通过基于资源的策略授权,居住在不同 AWS 账户中的用户也可以颁发证书。
授权用户,无论是单账户还是跨账户,都可以在颁发证书时使用 AWS 私有 CA 或 AWS Certificate Manager 资源。通过 AWS 私有 CA IssueCertificateAPI或 issue-certification CLI 命令颁发的证书处于非托管状态。此类证书需要在目标设备上手动安装,并在到期时手动续订。管理从ACM控制台ACMRequestCertificateAPI、或请求证书CLI命令颁发的证书。此类证书可以很容易地安装在与集成的服务中ACM。如果 CA 管理员允许,并且颁发者的账户已为其设置了服务相关角色ACM,则托管证书将在到期时自动续订。
