選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

設定 以使用 AWS Certificate Manager

焦點模式
設定 以使用 AWS Certificate Manager - AWS Certificate Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Certificate Manager (ACM),您可以為以 AWS 為基礎的網站和應用程式佈建和管理 SSL/TLS 憑證。您可以使用 ACM 建立或匯入憑證,然後加以管理。您必須使用其他服務,將憑證 AWS 部署到您的網站或應用程式。如需深入了解與 ACM 整合的服務,請參閱 與 ACM 整合的服務。以下區段討論使用 ACM 之前需要執行的步驟。

註冊 AWS 帳戶

如果您沒有 AWS 帳戶,請完成下列步驟來建立一個 。

註冊 AWS 帳戶
  1. 開啟 https://portal.aws.amazon.com/billing/signup

  2. 請遵循線上指示進行。

    部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。

    當您註冊 時 AWS 帳戶,AWS 帳戶根使用者會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務

AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 https://aws.amazon.com/ 並選擇我的帳戶,以檢視您目前的帳戶活動並管理帳戶。

建立具有管理存取權的使用者

註冊 後 AWS 帳戶,請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者,以免將根使用者用於日常任務。

保護您的 AWS 帳戶根使用者
  1. 選擇根使用者並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者AWS Management Console身分登入 。在下一頁中,輸入您的密碼。

    如需使用根使用者登入的說明,請參閱 AWS 登入 使用者指南中的以根使用者身分登入

  2. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

    如需說明,請參閱《IAM 使用者指南》中的為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬 MFA 裝置

建立具有管理存取權的使用者
  1. 啟用 IAM Identity Center。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的啟用 AWS IAM Identity Center

  2. 在 IAM Identity Center 中,將管理存取權授予使用者。

    如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱AWS IAM Identity Center 《 使用者指南》中的使用預設值設定使用者存取權 IAM Identity Center 目錄

以具有管理存取權的使用者身分登入
  • 若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。

    如需使用 IAM Identity Center 使用者登入的說明,請參閱AWS 登入 《 使用者指南》中的登入 AWS 存取入口網站

指派存取權給其他使用者
  1. 在 IAM Identity Center 中,建立一個許可集來遵循套用最低權限的最佳實務。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的建立許可集

  2. 將使用者指派至群組,然後對該群組指派單一登入存取權。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的新增群組

註冊 ACM 的網域名稱

完整網域名稱 (FQDN) 是組織或個人在網際網路上獨一無二的名稱,後面加上頂層網域域名,例如 .com 或 .org。如果您沒有已註冊的網域名稱,可以透過 Amazon Route 53 或眾多其他商業註冊商註冊。通常您會在註冊商的網站申請網域名稱。網域名稱隔離通常會持續一段固定的時間,例如一年或兩年,之後才能續約。

如需透過 Amazon Route 53 註冊網域名稱的詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的使用 Amazon Route 53 註冊網域名稱

(選用) 設定 CAA 記錄

CAA 記錄會指定允許哪種憑證授權單位 (CA) 為網域或子網域發出憑證。建立與 ACM 搭配使用的 CAA 記錄有助於防止錯誤的 CAs為您的網域發出憑證。CAA 記錄不能替代由您的憑證授權單位指定的安全要求,例如驗證您是網域擁有者的要求。

在 ACM 在憑證請求程序中驗證您的網域後,它會檢查是否存在 CAA 記錄,以確保它可以為您發出憑證。設定 CAA 記錄是選用的。

當您設定 CAA 記錄時,請使用下列值:

flags

指定 ACM 是否支援 tag 欄位的值。將此值設定為 0

標籤

tag 欄位可以是以下其中一個值。請注意,iodef 欄位目前已被忽略。

issue

表示您在 value 欄位中指定的 ACM CA 已獲授權為您的網域或子網域發行憑證。

issuewild

表示您在 value 欄位中指定的 ACM CA 已獲授權為您的網域或子網域發行萬用字元憑證。萬用字元憑證適用於網域或子網域及其子網域。

此欄位的值取決於 tag 欄位的值。您必須用引號 ("") 括住此值。

tagissue

value 欄位包含 CA 網域名稱。此欄位可以包含 Amazon CA 以外的 CA 的名稱。不過,如果您沒有指定以下四個 Amazon CA 其中一個的 CAA 記錄,ACM 就無法為您的網域或子網域發行憑證:

  • amazon.com

  • amazontrust.com

  • awstrust.com

  • amazonaws.com

value 欄位也可以包含分號 (;),表示不應允許任何 CA 為您的網域或子網域發行憑證。如果您在某個時間點決定不再需要為特定網域發行的憑證,請使用此欄位。

tagissuewild

value 欄位與 tagissue 時的相同,只是值適用於萬用字元憑證。

若存在不含 ACM CA 值的 issuewild CAA 記錄,ACM 就無法發行任何萬用字元。如果 issuewild 不存在,但有一筆 ACM 的 issue CAA 記錄,那麼 ACM 也許可發行萬用字元。

範例 CAA 記錄範例

在以下範例中,首先是您的網域名稱,然後是記錄類型 (CAA)。flags 欄位一律為 0。tags 欄位可以是 issueissuewild。如果欄位為 issue 且您在 value 欄位中輸入 CA 伺服器的網域名稱,則 CAA 記錄表示您指定的伺服器已獲許可發行您請求的憑證。如果您在 value 欄位中輸入分號 ";",則 CAA 記錄表示不允許任何 CA 發行憑證。CAA 記錄的組態因 DNS 供應商而異。

Domain Record type Flags Tag Value example.com. CAA 0 issue "SomeCA.com"
Domain Record type Flags Tag Value example.com. CAA 0 issue "amazon.com"
Domain Record type Flags Tag Value example.com. CAA 0 issue "amazontrust.com"
Domain Record type Flags Tag Value example.com. CAA 0 issue "awstrust.com"
Domain Record type Flags Tag Value example.com. CAA 0 issue "amazonaws.com"
Domain Record type Flags Tag Value example.com CAA 0 issue ";"

如需如何新增或修改 DNS 記錄的詳細資訊,請聯絡您的 DNS 供應商。Route 53 支援 CAA 記錄。如果您的 DNS 供應商是 Route 53,請參閱 CAA 格式以了解有關建立記錄的詳細資訊。

下一個主題:

公用憑證

上一個主題:

憑證
隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。