設定使用 AWS Certificate Manager - AWS Certificate Manager
註冊一個 AWS 帳戶建立具有管理存取權的使用者註冊網域名稱(選擇性) 設定CAA記錄

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定使用 AWS Certificate Manager

同 AWS Certificate Manager (ACM)您可以為您提供和管理SSL/TLS證書 AWS 基於網站和應用程序。您可ACM以用來建立或匯入憑證,然後管理憑證。您必須使用其他 AWS 將憑證部署到您的網站或應用程式的服務。如需與整合之服務的詳細資訊ACM,請參閱服務整合 ACM。以下各節將討論使用前需要執行的步驟ACM。

註冊一個 AWS 帳戶

如果您沒有 AWS 帳戶,請完成下列步驟來建立一個步驟。

若要註冊成為 AWS 帳戶

  1. 打開https://portal.aws.amazon.com/billing/註冊

  2. 請遵循線上指示進行。

    部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。

    當您註冊一個 AWS 帳戶,一個 AWS 帳戶根使用者已建立。根使用者可以存取所有 AWS 服務 和帳戶中的資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務

AWS 註冊過程完成後,會向您發送確認電子郵件。您可以隨時前往 https://aws.amazon.com/並選擇「我的帳戶」,檢視目前的帳戶活動並管理您的帳戶

建立具有管理存取權的使用者

在您註冊一個 AWS 帳戶,保護您的 AWS 帳戶根使用者,啟用 AWS IAM Identity Center,並建立系統管理使用者,這樣您就不會將 root 使用者用於日常工作。

保護您的 AWS 帳戶根使用者

  1. 登入 AWS Management Console通過選擇 Root 用戶並輸入您的帳戶所有者 AWS 帳戶 電子郵件地址。在下一頁中,輸入您的密碼。

    如需使用 root 使用者登入的說明,請參閱以 root 使用者身分登AWS 登入 使用者指南

  2. 為您的 root 使用者開啟多因素驗證 (MFA)。

    如需指示,請參閱為您的MFA裝置啟用虛擬裝置 AWS 帳戶 使用者指南中的 root IAM 使用者 (主控台)。

建立具有管理存取權的使用者

  1. 啟用IAM身分識別中心。

    如需指示,請參閱啟用 AWS IAM Identity Center 中的 AWS IAM Identity Center 使用者指南

  2. 在IAM身分識別中心中,將管理存取權授與使用者。

    若要取得有關使用 IAM Identity Center 目錄 做為您的身分識別來源,請參閱以預設值設定使用者存取 IAM Identity Center 目錄 中的 AWS IAM Identity Center 使用者指南

以具有管理存取權的使用者身分登入

  • 若要使用您的 IAM Identity Center 使用者登入URL,請使用建立IAM身分識別中心使用者時傳送至您電子郵件地址的登入資訊。

    如需使用IAM身分識別中心使用者登入的說明,請參閱登入 AWS 存取入口網站 AWS 登入 使用者指南

指派存取權給其他使用者

  1. 在 IAM Identity Center 中,建立遵循套用最低權限權限的最佳作法的權限集。

    如需相關指示,請參閱 AWS IAM Identity Center 使用者指南

  2. 將使用者指派至群組,然後對該群組指派單一登入存取權。

    如需指示,請參閱新增群組 AWS IAM Identity Center 使用者指南

註冊網域名稱 ACM

完整網域名稱 (FQDN) 是網際網路上組織或個人的唯一名稱,後面接著頂層網域後綴,例如 .com 或 .org。如果您沒有已註冊的網域名稱,可以透過 Amazon Route 53 或眾多其他商業註冊商註冊。通常您會在註冊商的網站申請網域名稱。域名提交通常會持續一段時間,例如一年或兩年,然後才必須續期。

如需透過 Amazon Route 53 註冊網域名稱的詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的使用 Amazon Route 53 註冊網域名稱

(選擇性) 設定CAA記錄

記CAA錄會指定允許哪些憑證授權單位 (CAs) 發行網域或子網域的憑證。建立與搭配使用的CAA記錄ACM有助於防CAs止錯誤發行網域的憑證。記CAA錄不能取代憑證授權單位所指定的安全性需求,例如驗證您是網域擁有者的要求。

在憑證要求程序ACM期間驗證您的網域之後,它會檢查是否存在CAA記錄,以確保它可以為您發行憑證。配置記CAA錄是可選的。

設定CAA記錄時,請使用下列值:

flags

指定標欄位的值是否受支援ACM。將此值設定為 0

標籤

tag 欄位可以是以下其中一個值。請注意,iodef 欄位目前已被忽略。

issue

表示您在欄位中指定的 ACM CA 已獲授權,可為您的網域或子網域發行憑證。

issuewild

表示您在欄位中指定的 ACM CA 已獲授權,可為您的網域或子網域發行萬用字元憑證。萬用字元憑證適用於網域或子網域及其子網域。

此欄位的值取決於 tag 欄位的值。您必須用引號 ("") 括住此值。

tagissue

value 欄位包含 CA 網域名稱。此欄位可以包含 Amazon CA 以外的 CA 的名稱。但是,如果您沒有指定以下四種 Amazon 之一的CAA記錄CAs,則ACM無法向您的域或子域發行證書:

  • amazon.com

  • amazontrust.com

  • awstrust.com

  • amazonaws.com

value 欄位也可以包含分號 (;),表示不應允許任何 CA 為您的網域或子網域發行憑證。如果您在某個時間點決定不再需要為特定網域發行的憑證,請使用此欄位。

tagissuewild

value 欄位與 tagissue 時的相同,只是值適用於萬用字元憑證。

如果存在不包含 ACM CA 值的問題範圍CAA記錄,則無法由發行萬用字元。ACM如果沒有 issuewild 存在,但有行CAA記錄ACM,則通配符可能由發行。ACM

範例 CAA記錄範例

在下列範例中,您的網域名稱首先是記錄類型 (CAA)。flags 欄位一律為 0。tags 欄位可以是 issueissuewild。如果欄位有問題,而您在欄位中輸入 CA 伺服器的網域名稱,則CAA記錄會指出您指定的伺服器可核發您要求的憑證。如果您在欄位中輸入分號「;」,CAA記錄表示不允許任何 CA 發行憑證。CAA記錄的配置因DNS提供者而異。

Domain       Record type  Flags  Tag      Value   
example.com.   CAA            0        issue      "SomeCA.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazon.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazontrust.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "awstrust.com"
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazonaws.com"
Domain       Record type  Flags  Tag      Value 
example.com    CAA            0        issue      ";"

如需有關如何新增或修改DNS記錄的詳細資訊,請洽詢您的DNS提供者。53 號路線支持CAA記錄。如果 Route 53 是您的DNS提供者,請參閱CAA格式以取得有關建立記錄的詳細資訊。