本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 控制对私有 CA 的访问权限
<a name="granting-ca-access"></a>

任何对私有 CA 具有必要权限的用户都 AWS 私有 CA 可以使用该 CA 签署其他证书。CA 所有者可以颁发证书或将颁发证书所需的权限委托给居住在相同的 AWS Identity and Access Management (IAM) 用户 AWS 账户。如果 CA 所有者通过[基于资源的策略](pca-rbp.md)授权，居住在不同 AWS 账户中的用户也可以颁发证书。

授权用户，无论是单账户还是跨账户，都可以在颁发证书时使用 AWS 私有 CA 或 AWS Certificate Manager 资源。 AWS 私有 CA [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)通过 API 或 [issue-certification CL](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) I 命令颁发的证书处于非托管状态。此类证书需要在目标设备上手动安装，并在到期时手动续订。管理从 ACM 控制台、ACM [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html)API 或请求证书 CL [I 命令颁发的证书](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html)。此类证书可以轻松地安装在与 ACM 集成的服务中。如果 CA 管理员允许，并且颁发者的账户拥有 ACM 的[服务相关角色](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)，则托管证书将在到期时自动续订。

**Topics**
+ [为 IAM 用户创建单账户权限](assign-permissions.md)
+ [附加跨账户存取策略](pca-ram.md)