本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
身份和访问管理 (IAM) Access Management 适用于 AWS Private Certificate Authority
访问 AWS 私有 CA 需要 AWS 可用于对您的请求进行身份验证的证书。以下主题提供详细信息来说明如何使用 AWS Identity and Access Management (IAM) 控制谁能访问您的 Private Certificate Authority (CA),从而帮助保护它们。
在中 AWS 私有 CA,您使用的主要资源是证书颁发机构 (CA)。您拥有或控制的每个私有 CA 均由 Amazon 资源名称 (ARN) 来标识,形式如下。
arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566资源所有者是创建 AWS 资源的 AWS 账户的委托人实体。以下示例说明了它的工作原理。
-
如果您使用您的 AWS 账户根用户 证书创建私有 CA,则您的 AWS 账户拥有该 CA。
重要
-
我们不建议使用 AWS 账户根用户 来创建 CA。
-
我们强烈建议您在访问时使用多因素身份验证 (MFA)。 AWS 私有 CA
-
-
如果您在 AWS 账户中创建 IAM 用户,则可以向该用户授予创建私有 CA 的权限。但是,该用户所属的账户拥有该 CA。
-
如果您在 AWS 账户中创建 IAM 角色并授予其创建私有 CA 的权限,则任何能够代入该角色的人都可以创建 CA。但是,该角色所属的账户拥有该私有 CA。
权限策略规定谁可以访问哪些内容。以下讨论介绍创建权限策略时的可用选项。
注意
本文档讨论了在的上下文中使用 IAM AWS 私有 CA。这里不提供有关 IAM 服务的详细信息。有关完整的 IAM 文档,请参阅 IAM 用户指南。有关 IAM policy 语法和说明的信息,请参阅 AWS IAM Policy 参考。
