本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# RAM 中的客户托管权限
<a name="pca-cmp"></a>

除了 RAM 中可用的 AWS 托管权限外，还 AWS 私有 CA 支持 RAM 客户托管权限 (CMP)。客户托管权限允许 CA 所有者定义跨账户委托人可以在共享 CA 上执行的一组自定义操作，从而提供比默认托管权限更精细的访问控制。 AWS 

以下操作适用于客户对`acm-pca:certificate-authority`资源类型的托管权限：

**读取动作**
+ `acm-pca:DescribeCertificateAuthority`— 查看 CA 配置和状态。
+ `acm-pca:GetCertificate`— 检索已颁发的证书。
+ `acm-pca:GetCertificateAuthorityCertificate`— 检索 CA 证书和证书链。
+ `acm-pca:ListPermissions`— 列出分配给 CA 的权限。
+ `acm-pca:ListTags`— 列出与 CA 相关的标签。

**写入动作**
+ `acm-pca:IssueCertificate`— 从共享 CA 颁发证书。
+ `acm-pca:RevokeCertificate`— 撤销先前颁发的证书。

您可以创建包含这些操作的任意组合的客户托管权限。例如，您可以创建排除`IssueCertificate`和的只读权限`RevokeCertificate`，或者创建包含所有七个操作的完全访问权限。

有关创建客户托管权限的更多信息，请参阅*《AWS RAM 用户指南*》中的[创建客户托管权限](https://docs.aws.amazon.com/ram/latest/userguide/create-customer-managed-permissions.html)。