本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Certificate Manager 使用 AWS Identity and Access Management (IAM) 服務連結角色,為共用的另一個帳戶啟用從私有 CA 發出的私有憑證自動續約 AWS Resource Access Manager。服務連結角色 (SLR) 是一種直接連結至 ACM 服務的 IAM 角色。此角色由 ACM 預先定義,包含本服務代您呼叫其他 AWS 服務需要的所有許可。
SLR 可讓 ACM 設定程序更為簡單,因為您不必手動新增必要的自動憑證簽署許可。ACM 會定義期 SLR 的許可,除非另外定義,否則只有 ACM 才能擔任此角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
如需關於支援 SLR 的其他服務的資訊,請參閱可搭配 IAM 運作的AWS 服務,並且在服務連結角色直欄中,尋找顯示為是的服務。選擇具有連結的 Yes (是),以檢視該服務的 SLR 說明文件。
ACM 的 SLR 許可
ACM 使用名為 Amazon Certificate Manager 服務角色政策的 SLR。
AWSServiceRoleForCertificateManager SLR 信任下列服務可擔任該角色:
-
acm.amazonaws.com
此角色許可政策允許 ACM 對指定資源完成下列動作:
-
動作:
acm-pca:IssueCertificate,acm-pca:GetCertificateon "*"
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除 SLR。如需詳細資訊,請參閱《IAM 使用者指南》中的服務連結角色許可。
重要
ACM 可能會提醒您無法判斷您的帳戶中是否存在 SLR。如果必要的 iam:GetRole 許可已授與給您帳戶的 ACM SLR,則 SLR 建立後就不會再次發出提醒。如果再次發出提醒,表示您或您的帳戶管理員可能需要授與 iam:GetRole 許可給 ACM,或為您的帳戶與 ACM 受管政策 AWSCertificateManagerFullAccess 建立關聯。
為 ACM 建立 SLR
您不需要手動建立 ACM 使用的 SLR。當您使用 AWS Management Console、 AWS CLI或 AWS API 發行 ACM 憑證時,ACM 會在您第一次為 共用的另一個帳戶建立私有 CA AWS RAM 來簽署憑證時,為您建立 SLR。
如果您遇到訊息,指出 ACM 無法判斷您的帳戶上是否存在 SLR,這可能表示您的帳戶未授予 AWS 私有 CA 所需的讀取許可。這並不會阻止安裝 SLR,而且您仍然可以發行憑證,但 ACM 將無法自動續約憑證,直到您解決問題為止。如需詳細資訊,請參閱ACM 服務連結角色 (SLR) 的問題。
重要
此 SLR 可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。此外,2017 年 1 月 1 日才開始支援 SLR,若您在這之前就有使用 ACM,則 ACM 會在您的帳戶中建立 AWSServiceRoleForCertificateManager 角色。若要進一步了解,請參閱我的 IAM 帳戶中出現的新角色。
若您刪除了此 SLR 而之後需要重新建立,可以使用下列其中一種方法:
-
在 IAM 主控台中,選擇 Role (角色)、Create role (建立角色)、Certificate Manager,以便透過 CertificateManagerServiceRolePolicy 使用案例來建立新的角色。
-
使用 IAM API CreateServiceLinkedRole 或對應的 AWS CLI 命令 create-service-linked-role,以
acm.amazonaws.com服務名稱建立 SLR。
如需詳細資訊,請參閱 IAM 使用者指南中的建立服務連結角色。
為 ACM 編輯 SLR
ACM 不允許您編輯 AWSServiceRoleForCertificateManager 服務連結角色。建立 SLR 後,因為各種實體皆會參考該角色,所以無法變更該角色的名稱。然而,您可使用 IAM 來編輯角色描述。如需更多資訊,請參閱 IAM 使用者指南中的編輯服務連結角色。
為 ACM 刪除 SLR
您通常不需要手動刪除 AWSServiceRoleForCertificateManager 角色。不過,您可以使用 IAM 主控台、 AWS CLI 或 AWS API 手動刪除角色。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色。
ACM SLR 的支援區域
ACM 支援在所有 AWS 私有 CA 可使用 ACM 和 的區域中使用 SLRs。如需詳細資訊,請參閱 AWS 區域與端點。
| 區域名稱 | 區域身分 | ACM 中的支援 |
|---|---|---|
| 美國東部 (維吉尼亞北部) | us-east-1 | 是 |
| 美國東部 (俄亥俄) | us-east-2 | 是 |
| 美國西部 (加利佛尼亞北部) | us-west-1 | 是 |
| 美國西部 (奧勒岡) | us-west-2 | 是 |
| 亞太區域 (孟買) | ap-south-1 | 是 |
| 亞太區域 (大阪) | ap-northeast-3 | 是 |
| 亞太區域 (首爾) | ap-northeast-2 | 是 |
| 亞太區域 (新加坡) | ap-southeast-1 | 是 |
| 亞太區域 (雪梨) | ap-southeast-2 | 是 |
| 亞太區域 (東京) | ap-northeast-1 | 是 |
| 加拿大 (中部) | ca-central-1 | 是 |
| 歐洲 (法蘭克福) | eu-central-1 | 是 |
| 歐洲 (蘇黎世) | eu-central-2 | 是 |
| 歐洲 (愛爾蘭) | eu-west-1 | 是 |
| 歐洲 (倫敦) | eu-west-2 | 是 |
| 歐洲 (巴黎) | eu-west-3 | 是 |
| 南美洲 (聖保羅) | sa-east-1 | 是 |
| AWS GovCloud (美國西部) | us-gov-west-1 | 是 |
| AWS GovCloud (美國東部) 東部 | us-gov-east-1 | 是 |
