本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 以使用 AWS Certificate Manager
<a name="setup"></a>

透過 AWS Certificate Manager (ACM)，您可以為 AWS 以 為基礎的網站和應用程式佈建和管理 SSL/TLS 憑證。您可以使用 ACM 建立或匯入憑證，然後加以管理。您必須使用其他 AWS 服務，將憑證部署到您的網站或應用程式。如需深入了解與 ACM 整合的服務，請參閱 [與 ACM 整合的服務](acm-services.md)。以下區段討論使用 ACM 之前需要執行的步驟。

**Topics**
+ [註冊 AWS 帳戶](#sign-up-for-aws)
+ [建立具有管理存取權的使用者](#create-an-admin)
+ [註冊 ACM 的網域名稱](#setup-domain)
+ [(選用) 設定 CAA 記錄](#setup-caa)

## 註冊 AWS 帳戶
<a name="sign-up-for-aws"></a>

如果您沒有 AWS 帳戶，請完成下列步驟來建立一個。

**註冊 AWS 帳戶**

1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。

1. 請遵循線上指示進行。

   部分註冊程序需接收來電或簡訊，並在電話鍵盤輸入驗證碼。

   當您註冊 時 AWS 帳戶，*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務，請將管理存取權指派給使用者，並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**，以檢視您目前的帳戶活動並管理帳戶。

## 建立具有管理存取權的使用者
<a name="create-an-admin"></a>

註冊 後 AWS 帳戶，請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者，以免將根使用者用於日常任務。

**保護您的 AWS 帳戶根使用者**

1.  選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址，以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中，輸入您的密碼。

   如需使用根使用者登入的說明，請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。

1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

   如需說明，請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 （主控台） 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。

**建立具有管理存取權的使用者**

1. 啟用 IAM Identity Center。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。

1. 在 IAM Identity Center 中，將管理存取權授予使用者。

   如需使用 IAM Identity Center 目錄 做為身分來源的教學課程，請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。

**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署，請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。

  如需使用 IAM Identity Center 使用者登入的說明，請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。

**指派存取權給其他使用者**

1. 在 IAM Identity Center 中，建立一個許可集來遵循套用最低權限的最佳實務。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。

1. 將使用者指派至群組，然後對該群組指派單一登入存取權。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。

## 註冊 ACM 的網域名稱
<a name="setup-domain"></a>

完整網域名稱 (FQDN) 是網際網路上組織或個人的唯一名稱，後面接著頂層網域延伸，例如 `.com `或 `.org`。如果您沒有已註冊的網域名稱，可以透過 Amazon Route 53 或眾多其他商業註冊商註冊。通常您會在註冊商的網站申請網域名稱。網域名稱註冊通常持續一定的時間，例如必須續約一年或兩年。

如需透過 Amazon Route 53 註冊網域名稱的詳細資訊，請參閱《*Amazon Route 53 開發人員指南*》中的[使用 Amazon Route 53 註冊網域名稱](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html)。

## (選用) 設定 CAA 記錄
<a name="setup-caa"></a>

CAA 記錄會指定允許哪種憑證授權單位 (CA) 為網域或子網域發出憑證。建立與 ACM 搭配使用的 CAA 記錄有助於防止錯誤的 CAs為您的網域發行憑證。CAA 記錄不能替代由您的憑證授權單位指定的安全要求，例如驗證您是網域擁有者的要求。

在 ACM 在憑證請求程序中驗證您的網域之後，它會檢查是否存在 CAA 記錄，以確保它可以為您發行憑證。設定 CAA 記錄是選用的。

設定 CAA 記錄時，請使用下列值：

**flags**  
指定 ACM 是否支援 **tag** 欄位的值。將此值設定為 **0**。

**標籤**  
**tag** 欄位可以是以下其中一個值。請注意， **iodef** 欄位目前被忽略。    
**issue**  
表示您在 **value** 欄位中指定的 ACM CA 已獲授權為您的網域或子網域發行憑證。  
**issuewild**  
表示您在 **value** 欄位中指定的 ACM CA 已獲授權為您的網域或子網域發行萬用字元憑證。萬用字元憑證適用於網域或子網域及其子網域。請注意，如果您計劃使用 HTTP 驗證，此設定將不適用，因為 HTTP 驗證不支援萬用字元憑證。對於萬用字元憑證，請改用 DNS 或電子郵件驗證。

**value**  
此欄位的值取決於 **tag** 欄位的值。您必須用引號 ("") 括住此值。    
當 **tag** 是 **issue** 時  
**value** 欄位包含 CA 網域名稱。此欄位可以包含 Amazon CA 以外的 CA 的名稱。不過，如果您沒有指定以下四個 Amazon CA 其中一個的 CAA 記錄，ACM 就無法為您的網域或子網域發行憑證：  
+ amazon.com
+ amazontrust.com
+ awstrust.com
+ amazonaws.com
**value** 欄位也可以包含分號 (;)，表示不應允許任何 CA 為您的網域或子網域發行憑證。如果您在某個時間點決定不再需要為特定網域發行的憑證，請使用此欄位。  
當 **tag** 是 **issuewild** 時  
**value** 欄位與 **tag** 為 **issue** 時的相同，只是值適用於萬用字元憑證。  
若存在不含 ACM CA 值的 **issuewild** CAA 記錄，ACM 就無法發行任何萬用字元。如果 **issuewild** 不存在，但有一筆 ACM 的 **issue** CAA 記錄，那麼 ACM 也許可發行萬用字元。

**Example CAA 記錄範例**  
在以下範例中，首先是您的網域名稱，然後是記錄類型 (CAA)。**flags** 欄位一律為 0。**tags** 欄位可以是 **issue** 或 **issuewild**。如果欄位為 **issue** 且您在 **value** 欄位中輸入 CA 伺服器的網域名稱，則 CAA 記錄表示您指定的伺服器已獲許可發行您請求的憑證。如果您在 **value** 欄位中輸入分號 ";"，則 CAA 記錄表示不允許任何 CA 發行憑證。CAA 記錄的組態因 DNS 供應商而異。  
如果您打算搭配 CloudFront 使用 HTTP 驗證，則不需要設定 **issuewild** 記錄，因為 HTTP 驗證不支援萬用字元憑證。對於萬用字元憑證，請改用 DNS 或電子郵件驗證。

```
Domain       Record type  Flags  Tag      Value   
example.com.   CAA            0        issue      "SomeCA.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazon.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazontrust.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "awstrust.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazonaws.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com    CAA            0        issue      ";"
```

如需如何新增或修改 DNS 記錄的詳細資訊，請聯絡您的 DNS 供應商。Route 53 支援 CAA 記錄。如果您的 DNS 供應商是 Route 53，請參閱 [CAA 格式](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#CAAFormat)以了解有關建立記錄的詳細資訊。