本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Identity and Access Managemen IAM t () 适用于 AWS Private Certificate Authority
访问 AWS 私有 CA 需要 AWS 可用于对您的请求进行身份验证的证书。以下主题详细介绍了如何使用 AWS Identity and Access Management (IAM) 通过控制谁可以访问私有证书颁发机构 (CAs) 来帮助保护私有证书颁发机构 ()。
在中 AWS 私有 CA,您使用的主要资源是证书颁发机构 (CA)。您拥有或控制的每个私有 CA 都由 Amazon 资源名称 (ARN) 标识,其形式如下。
arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
资源所有者是创建 AWS 资源的 AWS 账户的委托人实体。以下示例说明了它的工作原理。
-
如果您使用您的 AWS 账户根用户 证书创建私有 CA,则您的 AWS 账户拥有该 CA。
重要
-
我们不建议使用 AWS 账户根用户 来创建CAs。
-
我们强烈建议您在访问 AWS 私有 CA时使用多因素身份验证 (MFA)。
-
-
如果您在 AWS 账户中创建IAM用户,则可以向该用户授予创建私有 CA 的权限。但是,该用户所属的账户拥有该 CA。
-
如果您在 AWS 账户中创建IAM角色并授予其创建私有 CA 的权限,则任何能够担任该角色的人都可以创建 CA。但是,该角色所属的账户拥有该私有 CA。
权限策略规定谁可以访问哪些内容。以下讨论介绍创建权限策略时的可用选项。
注意
本文档讨论了IAM在的上下文中使用 AWS 私有 CA。它不提供有关IAM服务的详细信息。有关完整的IAM文档,请参阅《IAM用户指南》。有关IAM策略语法和描述的信息,请参阅AWS IAM策略参考。