本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在下列兩種情況下,您可以使用 AWS 私有 CA 來簽署 ACM 憑證:
-
單一帳戶:簽署 CA 和發行的 AWS Certificate Manager (ACM) 憑證位於同一個 AWS 帳戶中。
若要啟用單一帳戶發行和續約功能, AWS 私有 CA 管理員必須授與許可給 ACM 服務主體,才能建立、擷取和列出憑證。這是使用 API AWS 私有 CA 動作 CreatePermission 或 AWS CLI 命令 create-permission 來完成。帳戶擁有者會將這些許可指派給負責發行憑證的 IAM 使用者、群組或角色。
-
跨帳戶:簽署 CA 和發行的 ACM 憑證位於不同的 AWS 帳戶中,並且已將 CA 的存取權授予憑證所在的帳戶。
若要啟用跨帳戶發行和續約,管理員必須使用 AWS 私有 CA API AWS 私有 CA 動作 PutPolicy 或 AWS CLI 命令 put-policy,將資源型政策連接至 CA。政策會指定其他帳戶中允許有限存取 CA 的委託人。如需詳細資訊,請參閱搭配 ACM Private CA 使用資源型政策。
跨帳戶案例也需要 ACM 設定服務連結角色 (SLR),才能以委託人身分與 PCA 政策互動。ACM 會在發行第一個憑證時自動建立 SLR。
ACM 可能會提醒您無法判斷您的帳戶中是否存在 SLR。如果必要的
iam:GetRole許可已授與給您帳戶的 ACM SLR,則 SLR 建立後就不會再次發出提醒。如果再次發出提醒,表示您或您的帳戶管理員可能需要授與iam:GetRole許可給 ACM,或為您的帳戶與由 ACM 管理的政策AWSCertificateManagerFullAccess建立關聯。如需詳細資訊,請參閱搭配 ACM 使用服務連結角色。
重要
您的 ACM 憑證必須主動與支援的 AWS 服務建立關聯,才能自動續約。如需有關 ACM 支援的資源的資訊,請參閱 與 ACM 整合的服務。
