本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
RAM 中的客户托管权限
除了 RAM 中可用的 AWS 托管权限外,还 AWS 私有 CA 支持 RAM 客户托管权限 (CMP)。客户托管权限允许 CA 所有者定义跨账户委托人可以在共享 CA 上执行的一组自定义操作,从而提供比默认托管权限更精细的访问控制。 AWS
以下操作适用于客户对acm-pca:certificate-authority资源类型的托管权限:
读取动作
-
acm-pca:DescribeCertificateAuthority— 查看 CA 配置和状态。 -
acm-pca:GetCertificate— 检索已颁发的证书。 -
acm-pca:GetCertificateAuthorityCertificate— 检索 CA 证书和证书链。 -
acm-pca:ListPermissions— 列出分配给 CA 的权限。 -
acm-pca:ListTags— 列出与 CA 相关的标签。
写入动作
-
acm-pca:IssueCertificate— 从共享 CA 颁发证书。 -
acm-pca:RevokeCertificate— 撤销先前颁发的证书。
您可以创建包含这些操作的任意组合的客户托管权限。例如,您可以创建排除IssueCertificate和的只读权限RevokeCertificate,或者创建包含所有七个操作的完全访问权限。
有关创建客户托管权限的更多信息,请参阅《AWS RAM 用户指南》中的创建客户托管权限。
