本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 身份和访问管理 (IAM) Access Management 适用于 AWS 私有证书颁发机构
<a name="security-iam"></a>

 访问 AWS 私有 CA 需要 AWS 可用于对您的请求进行身份验证的证书。以下主题详细介绍了如何使用 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 通过控制谁可以访问私有证书颁发机构 (CAs) 来帮助保护私有证书颁发机构 ()。

在中 AWS 私有 CA，您使用的主要资源是*证书颁发机构 (CA)*。您拥有或控制的每个私有 CA 均由 Amazon 资源名称 (ARN) 来标识，形式如下。

```
arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```

*资源所有者*是创建 AWS 资源的 AWS 账户的*委托人实体*。以下示例说明了它的工作原理。
+ 如果您使用您的 AWS 账户根用户 证书创建私有 CA，则您的 AWS 账户拥有该 CA。
**重要**  
我们不建议使用 AWS 账户根用户 来创建 CAs。
我们强烈建议您在访问时使用多因素身份验证 (MFA)。 AWS 私有 CA
+ 如果您在 AWS 账户中创建 IAM 用户，则可以向该用户授予创建私有 CA 的权限。但是，该用户所属的账户拥有该 CA。
+ 如果您在 AWS 账户中创建 IAM 角色并授予其创建私有 CA 的权限，则任何能够代入该角色的人都可以创建 CA。但是，该角色所属的账户拥有该私有 CA。

*权限*策略规定谁可以访问哪些内容。以下讨论介绍创建权限策略时的可用选项。

**注意**  
本文档讨论了在的上下文中使用 IAM AWS 私有 CA。这里不提供有关 IAM 服务的详细信息。有关完整的 IAM 文档，请参阅 [IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。有关 IAM policy 语法和说明的信息，请参阅 [AWS IAM Policy 参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。